Atlassian telah mengungkapkan bahwa mereka telah memperbaiki kelemahan utama dalam produk Server Manajemen Layanan dan Pusat Data.
Kerentanan yang dilacak sebagai CVE-2023-22501 memungkinkan penjahat dunia maya untuk meniru (terbuka di tab baru) orang dan mengakses contoh Manajemen Layanan Jira dalam keadaan tertentu. Itu menerima peringkat keparahan 9,4, menjadikannya kelemahan kritis.
“Dengan akses tulis ke direktori pengguna dan mengaktifkan email keluar pada contoh Manajemen Layanan Jira, penyerang dapat memperoleh akses ke token pendaftaran yang dikirim ke pengguna dengan akun yang belum pernah masuk,” Atlassian mencatat dalam deskripsi kerentanan.
Versi rentan
Perusahaan menjelaskan bahwa penjahat dunia maya dapat memperoleh token jika disertakan dalam masalah atau permintaan Jira dengan pengguna, atau jika mereka entah bagaimana menerima email dengan tautan “Lihat Permintaan”.
“Akun bot sangat rentan terhadap skenario ini,” Atlassian menjelaskan lebih lanjut. “Dalam contoh sistem masuk tunggal, akun pelanggan eksternal dapat disusupi dalam proyek di mana setiap orang dapat membuat akun mereka sendiri.”
Berikut adalah versi Jira yang terpengaruh oleh kerentanan: 5.3.0; 5.3.1; 5.3.2; 5.4.0; 5.4.1 dan 5.5.0. Tingkatkan Jira ke 5.3.3 untuk berjaga-jaga; 5.4.2; 5.5.1 atau 5.6.0.
Produk Atlassian tampaknya menjadi target populer di kalangan penjahat dunia maya. Oktober lalu, Badan Keamanan Siber dan Infrastruktur AS (CISA) mencatat bahwa kerentanan dengan tingkat keparahan tinggi yang ditemukan di dua alat Atlassian Bitbucket yang banyak digunakan — Server dan Pusat Data — dieksploitasi secara aktif di alam bebas.
Sebelumnya pada bulan Juli, dilaporkan bahwa Jira, Confluence, dan Bamboo rentan terhadap CVE-2022-26136, bypass filter servlet arbitrer yang memungkinkan penyerang melewati filter servlet khusus yang digunakan oleh aplikasi pihak ketiga untuk autentikasi. Cacat itu dianggap sangat serius.
Oleh: Gudang Informasi Keamanan (terbuka di tab baru)
