首頁 > 安全研究 > 安全通報 > 安全通告

Jira Server和Service Desk多個漏洞安全通告

發布時間 2019-09-23

漏洞編號和級別


CVE編號:CVE-2019-14994,危險級別:高危,CVSS分值:7.5

CVE編號:CVE-2019-15001,危險級別:嚴重,CVSS分值:7.2


影響版本


CVE-2019-14994

Affected Jira Service Desk Server and Jira Service Desk Data Center Versions

version < 3.9.16

3.10.0 <= version < 3.16.8

4.0.0 <= version < 4.1.3

4.2.0 <= version < 4.2.5

4.3.0 <= version < 4.3.4

4.4.0 <= version < 4.4.1


CVE-2019-15001

Affected Jira Server & Jira Data Center Versions

starting with 7.0.10

7.1.x

7.2.x

7.3.x

7.4.x

7.5.x

7.6.x before 7.6.16 (the fixed version for 7.6.x)

7.7.x

7.8.x

7.9.x

7.10.x

7.11.x

7.12.x

7.13.x before 7.13.8 (the fixed version for 7.13.x)

8.0.x  

8.1.x before 8.1.3 (the fixed version for 8.1.x)

8.2.x before 8.2.5 (the fixed version for 8.2.x)

8.3.x before 8.3.4 (the fixed version for 8.3.x)

8.4.0


漏洞概述


Atlassian發布Jira Server和Service Desk的安全更新,修復兩個安全漏洞。


CVE-2019-14994


Atlassian Jira Service Desk Server和Atlassian Jira Service Desk Data Center都是澳大利亞Atlassian公司的產品。Atlassian Jira Service Desk Server是一套IT服務臺與請求跟蹤系統的服務器版本。該系統主要用于接收、跟蹤和管理團隊客戶的請求。Atlassian Jira Service Desk Data Center是Atlassian Jira Service Desk的數據中心版本。


Customer Context Filter是其中的一個上下文過濾器。 Atlassian Jira Service Desk Server和Atlassian Jira Service Desk Data Center中的Customer Context Filter存在路徑遍歷漏洞。該漏洞源于網絡系統或產品未能正確地過濾資源或文件路徑中的特殊元素。攻擊者可以利用此漏洞查看目標實例中的所有Jira項目,包括Service Desk項目、Jira Core項目和Jira Software項目。


研究人員報告稱2.5萬多個易受攻擊的實例在網上暴露,它們屬于醫療、政府、教育和制造行業等。


CVE-2019-15001


Atlassian JIRA Server和Atlassian JIRA Data Center都是澳大利亞Atlassian(Atlassian)公司的產品。Atlassian JIRA Server是一套缺陷跟蹤管理系統的服務器版本。該系統主要用于對工作中各類問題、缺陷進行跟蹤管理。Atlassian JIRA Data Center是Atlassian JIRA的數據中心版本。


Jira Importers Plugin(JIM)是其中的一個文件/數據導入插件。 Atlassian JIRA Server和Atlassian JIRA Data Center中的Jira Importers Plugin存在注入漏洞。該漏洞源于用戶輸入構造命令、數據結構或記錄的操作過程中,網絡系統或產品缺乏對用戶輸入數據的正確驗證,未過濾或未正確過濾掉其中的特殊元素,導致系統或產品產生解析或解釋方式錯誤。


漏洞驗證


暫無POC/EXP。


修復建議


目前廠商已發布升級補丁以修復漏洞,下載鏈接:

https://confluence.atlassian.com/jira/jira-service-desk-security-advisory-2019-09-18-976171274.html

https://confluence.atlassian.com/jira/jira-security-advisory-2019-09-18-976766250.html


參考鏈接


https://www.bleepingcomputer.com/news/security/jira-server-and-service-desk-fix-critical-security-bugs/


上一篇 下一篇