🔥 Công Ty TNHH Dịch Vụ Tư Vấn Luật Gia Long đã đăng ký tín nhiệm. 🔥                    🔥 Công Ty TNHH Thương Mại Dịch Vụ Điện Lạnh Q.T.C đã đăng ký tín nhiệm. 🔥                    🔥 Công Ty TNHH Fahatech đã đăng ký tín nhiệm. 🔥                    🔥 Hội các Phòng thử nghiệm Việt Nam - Vinalab đã đăng ký tín nhiệm. 🔥                    🔥 Hoathuanwatch đã đăng ký tín nhiệm. 🔥                   

Atlassian Drops phát hành bản vá cho lỗ hổng bỏ qua xác thực nghiêm trọng trong Jira

26/04/2022

Atlassian đã đưa ra cảnh báo bảo mật về một lỗ hổng nghiêm trọng trong phần mềm Jira cho phép kẻ tấn công không cần xác thực lợi dụng để vượt qua kiểm tra xác thực.

Lỗ hổng có định danh CVE-2022-0540 (điểm CVSS: 9,9 trên 10), tồn tại trong framework xác thực Jira Seraph của Jira, được nhà nghiên cứu Khoadha của Công ty bảo mật Viettel phát hiện và báo cáo.

Atlassian cho biết: “Kẻ tấn công từ xa, không cần xác thực có thể khai thác lỗ hổng này bằng cách gửi một request HTTP độc hại để bỏ qua các yêu cầu kiểm tra xác thực trong các tác vụ WebWork bằng cách sử dụng cấu hình bị ảnh hưởng.

Danh sách các sản phẩm bị ảnh hưởng bao gồm:

- Jira Core Server, Jira Software Server và Jira Software Data Center: các phiên bản trước 8.13.18, 8.14.x, 8.15.x, 8.16.x, 8.17.x, 8.18.x, 8.19.x, 8.20.x trước 8.20. 6 và 8.21.x

- Jira Service Management Server và Jira Service Management Data Center: các phiên bản trước 4.13.18, 4.14.x, 4.15.x, 4.16.x, 4.17.x, 4.18.x, 4.19.x, 4.20.x trước 4.20.6, và 4,21.x

Lỗ hổng này đã được khắc phục trong phiên bản Jira 8.13.18, 8.20.6, 8.22.0 và Jira Service Management 4.13.18, 4.20.6, 4.22.0.

Atlassian lưu ý rằng lỗ hổng chỉ ảnh hưởng đến các ứng dụng bên thứ nhất và bên thứ ba nếu chúng được cài đặt trong phiên bản Jira hoặc Jira Service Management bị ảnh hưởng và chúng đang sử dụng cấu hình dễ bị tấn công.

Người dùng nên kiểm tra và cập nhật ngay lên các phiên bản không bị ảnh hưởng hoặc tắt các ứng dụng có chứa lỗ hổng để giảm thiểu các rủi ro tiềm ẩn.

Đáng chú ý, một lỗ hổng thực thi mã từ xa nghiêm trọng trong Atlassian Confluence (CVE-2021-26084, điểm CVSS: 9,8) đã bị khai thác nhiều trong năm 2020 để cài đặt các công cụ khai thác tiền điện tử trên các máy chủ bị xâm nhập.

Nguồn: thehackernews.com.

scrolltop