
JIRA服务器模板注入漏洞警报
最近,JIRA发布了一个安全公告,修复了服务器端模板注入漏洞(CVE-2019-11581),影响了Jira Server和Jira Data Center。 成功利用此漏洞的攻击者可以远程执行受影响服务器上的代码。 使用Jira Cloud的用户不受影响。
Jira是由Atlassian开发的专有问题跟踪产品,允许错误跟踪和敏捷项目管理。 产品名称是Gojira的截断,Gojira是Godzilla的日语单词,是对竞争对手Bugzilla的引用。
漏洞摘要
该漏洞源自Jira Server和Data Center中的ContactAdministrator和SendBulkMail操作。 成功利用此漏洞至少需要满足以下条件之一:
SMTP服务器在JIRA中配置,并且启用了“联系人管理员表单”选项。
SMTP服务器在JIRA中配置,攻击者可以访问“JIRA管理员”。
受影响的版本
以下版本的Jira Server和Jira Data Center受到影响:
Affected version
4.4.x
5.xx
6.xx
7.0.x
7.1.x
7.2.x
7.3.x
7.4.x
7.5.x
7.6.14 (7.6.x repaired version) before 7.6.x
7.7.x
7.8.x
7.9.x
7.10.x
7.11.x
7.12.x
7.13.x before 7.13.5 (修复版本 7.13.x)
8.0.3 (8.0.x 修复版本) 之前 8.0.x
8.1.2 (8.1.x 修复版本) 之前 8.1.x
8.2.3 (8.2.x 修复版本) 之前 8.2.x
未受影响的版本
以下版本的Jira Server和Jira Data Center不受影响:
7.6.14
7.13.5
8.0.3
8.1.2
8.2.3
解决方案
Jira官方发布了一个新版本来修复上述漏洞,受影响的用户应该尽快升级Jira Server和Jira Data Center。
8.2.3 可以从中下载 https://www.atlassian.com/software/jira/download
8.1.2 可以从中下载 https://www.atlassian.com/software/jira/update.
8.0.3 可以从中下载 https://www.atlassian.com/software/jira/update.
7.13.5 可以从中下载 https://www.atlassian.com/software/jira/update.
7.6.14 可以从中下载 https://www.atlassian.com/software/jira/update.
[超站]友情链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/

随时掌握互联网精彩
- 1 维护世界粮食安全的中国行动 7904197
- 2 辽宁失联4岁女童已找到 7808574
- 3 “距离下一场战争打响还有0日” 7714051
- 4 十四五期间这些大国重器出圈了 7617514
- 5 500平房子装20余台空调 邻居投诉 7523826
- 6 人民日报对话郭晶晶:为何巅峰期退役 7425287
- 7 杭州有人600元一克时囤了150万黄金 7332500
- 8 曹德旺回应退休:我儿子也55岁了 7239178
- 9 夫妻卖辣卤因食客排队太久全部免单 7142476
- 10 人贩子被判3年后又卖了十余个孩子 7048624