JIRA服务器模板注入漏洞警报
最近,JIRA发布了一个安全公告,修复了服务器端模板注入漏洞(CVE-2019-11581),影响了Jira Server和Jira Data Center。 成功利用此漏洞的攻击者可以远程执行受影响服务器上的代码。 使用Jira Cloud的用户不受影响。
Jira是由Atlassian开发的专有问题跟踪产品,允许错误跟踪和敏捷项目管理。 产品名称是Gojira的截断,Gojira是Godzilla的日语单词,是对竞争对手Bugzilla的引用。
漏洞摘要
该漏洞源自Jira Server和Data Center中的ContactAdministrator和SendBulkMail操作。 成功利用此漏洞至少需要满足以下条件之一:
SMTP服务器在JIRA中配置,并且启用了“联系人管理员表单”选项。
SMTP服务器在JIRA中配置,攻击者可以访问“JIRA管理员”。
受影响的版本
以下版本的Jira Server和Jira Data Center受到影响:
Affected version
4.4.x
5.xx
6.xx
7.0.x
7.1.x
7.2.x
7.3.x
7.4.x
7.5.x
7.6.14 (7.6.x repaired version) before 7.6.x
7.7.x
7.8.x
7.9.x
7.10.x
7.11.x
7.12.x
7.13.x before 7.13.5 (修复版本 7.13.x)
8.0.3 (8.0.x 修复版本) 之前 8.0.x
8.1.2 (8.1.x 修复版本) 之前 8.1.x
8.2.3 (8.2.x 修复版本) 之前 8.2.x
未受影响的版本
以下版本的Jira Server和Jira Data Center不受影响:
7.6.14
7.13.5
8.0.3
8.1.2
8.2.3
解决方案
Jira官方发布了一个新版本来修复上述漏洞,受影响的用户应该尽快升级Jira Server和Jira Data Center。
8.2.3 可以从中下载 https://www.atlassian.com/software/jira/download
8.1.2 可以从中下载 https://www.atlassian.com/software/jira/update.
8.0.3 可以从中下载 https://www.atlassian.com/software/jira/update.
7.13.5 可以从中下载 https://www.atlassian.com/software/jira/update.
7.6.14 可以从中下载 https://www.atlassian.com/software/jira/update.
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
关注数据与安全,洞悉企业级服务市场:http://www.ijiandao.com/

随时掌握互联网精彩
- 1 吴孟达最后一条朋友圈 4901365
- 2 首批武汉产新冠灭活疫苗正式上市 4729817
- 3 人民日报:爱国者达叔永远是主角 4564273
- 4 教育惩戒新规3月起实施 4404524
- 5 国家勋章和国家荣誉奖章细节 4250365
- 6 台媒称大陆贸易商叫停高雄莲雾订单 4101603
- 7 中央政法委批老师攀比家长收入 3958046
- 8 江苏足球俱乐部停止运营 3819515
- 9 吴孟达临终一幕:听到呼唤用力睁眼 3685832
- 10 李国英任水利部部长 3556828