长期隐藏的服务器端模板注入错误发掘
Atlassian修补了JIRA服务器中的关键漏洞,可能会影响同名开发人员最喜欢的工作流软件的用户。
错误跟踪和项目管理软件中的漏洞(CVE-2019-11581)为攻击者创造了一种手段,可以在运行JIRA服务器或数据中心的脆弱版本上远程执行代码。
该安全错误是在2011年发布的JIRA服务器和JIRA数据中心版本4.4.0中引入的。
利用服务器端模板注入(SSTI)漏洞部分取决于系统配置。
如果已在JIRA中配置了SMTP服务器并启用了联系管理员表单,则攻击者将能够在没有身份验证的情况下利用此问题。
如果在JIRA配置了SMTP服务器并且攻击者具有JIRA管理员访问权限的情况下,该漏洞也可以利用。
要么为攻击者将恶意代码推向运行脆弱版本的JIRA服务器或数据中心的系统,要么清除了道路。
Atlassian认为乌克兰安全研究员Daniil Dmitriev发现了安全错误。
一个咨询该公司提供补丁建议和建议的解决方法,为无法应用即时更新的人提供解决方案。