Atlassian đã đưa ra cảnh báo bảo mật về một lỗ hổng nghiêm trọng trong phần mềm Jira cho phép kẻ tấn công không cần xác thực lợi dụng để vượt qua kiểm tra xác thực.
Lỗ hổng có định danh CVE-2022-0540 (điểm CVSS: 9,9 trên 10), tồn tại trong framework xác thực Jira Seraph của Jira, được nhà nghiên cứu Khoadha của Công ty bảo mật Viettel phát hiện và báo cáo.
Atlassian cho biết: “Kẻ tấn công từ xa, không cần xác thực có thể khai thác lỗ hổng này bằng cách gửi một request HTTP độc hại để bỏ qua các yêu cầu kiểm tra xác thực trong các tác vụ WebWork bằng cách sử dụng cấu hình bị ảnh hưởng.
Danh sách các sản phẩm bị ảnh hưởng bao gồm:
- Jira Core Server, Jira Software Server và Jira Software Data Center: các phiên bản trước 8.13.18, 8.14.x, 8.15.x, 8.16.x, 8.17.x, 8.18.x, 8.19.x, 8.20.x trước 8.20. 6 và 8.21.x
- Jira Service Management Server và Jira Service Management Data Center: các phiên bản trước 4.13.18, 4.14.x, 4.15.x, 4.16.x, 4.17.x, 4.18.x, 4.19.x, 4.20.x trước 4.20.6, và 4,21.x
Lỗ hổng này đã được khắc phục trong phiên bản Jira 8.13.18, 8.20.6, 8.22.0 và Jira Service Management 4.13.18, 4.20.6, 4.22.0.
Atlassian lưu ý rằng lỗ hổng chỉ ảnh hưởng đến các ứng dụng bên thứ nhất và bên thứ ba nếu chúng được cài đặt trong phiên bản Jira hoặc Jira Service Management bị ảnh hưởng và chúng đang sử dụng cấu hình dễ bị tấn công.
Người dùng nên kiểm tra và cập nhật ngay lên các phiên bản không bị ảnh hưởng hoặc tắt các ứng dụng có chứa lỗ hổng để giảm thiểu các rủi ro tiềm ẩn.
Đáng chú ý, một lỗ hổng thực thi mã từ xa nghiêm trọng trong Atlassian Confluence (CVE-2021-26084, điểm CVSS: 9,8) đã bị khai thác nhiều trong năm 2020 để cài đặt các công cụ khai thác tiền điện tử trên các máy chủ bị xâm nhập.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Ba lỗ hổng bảo mật đã được phát hiện trong bộ giải mã âm thanh của chip Qualcomm và MediaTek, có thể cho phép kẻ tấn công truy cập trái phép từ xa vào các cuộc trò chuyện trên các thiết bị di động bị ảnh hưởng.
Tín nhiệm mạng | Google Project Zero ghi nhận năm 2021 là "năm kỷ lục cho lỗ hổng zero-day" với 58 lỗ hổng bảo mật đã được phát hiện và tiết lộ, tăng gấp hơn hai lần so với mức tối đa trước đó.
Tín nhiệm mạng | Một lỗ hổng bảo mật hiện đã được vá trong hệ thống phát hiện và ngăn chặn xâm nhập (IDPS) Snort có thể gây ra sự cố từ chối dịch vụ (DoS) và khiến nó không còn khả năng ngăn chặn các lưu lượng độc hại.
Tín nhiệm mạng | Tin tặc đã tạo ra bản nâng cấp Windows 11 giả mạo nhằm lừa người dùng cài đặt để triển khai mã độc đánh cắp thông tin, nhắm đến những người muốn cài đặt Windows 11 mà không hiểu rõ các yêu cầu.
Tín nhiệm mạng | Một người dùng MetaMask đã mất hơn 655 nghìn đô do một cuộc tấn công lừa đảo xâm phạm tài khoản Apple.
Tín nhiệm mạng | Elementor-plugin xây dựng trang web WordPress với hơn năm triệu lượt cài đặt, được phát hiện có chứa lỗ hổng cho phép thực thi mã từ xa.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
