Sårbarhed i Atlassians Jira-software

Kritisk sårbarhed muliggør omgåelse af autentificering.

Atlassian har udsendt rettelser til adressering af en kritisk sikkerhedsfejl i Jira Service Management Server og Datacenter. Sårbarheden kan misbruges af en angriber til at få uautoriseret adgang. Det skriver The Hacker News.

Sårbarheden har id’et CVE-2023-22501 og en høj CVSS-score på 9,4. Den beskrives en sårbarhed, der gør det muligt for en angriber at efterligne en anden bruger og få adgang til en Jira Service Management-instans under visse omstændigheder. Angrebskompleksiteten er lav, hvorfor CVSS-scoren er høj.

Atlassian oplyser, at sårbarheden findes i version 5.3.0 og den påvirker alle efterfølgende versioner 5.3.1, 5.3.2, 5.4.0, 5.4.1 og 5.5.0. Rettelser er blevet gjort tilgængelige i version 5.3.3, 5.3.3, 5.5.1 og 5.6.0 eller nyere.

Det tilføjes, at Jira-websteder, der hostes i cloud'en via et atlassian[.]net-domæne, ikke er påvirket af fejlen.

The Hacker News skriver, at fejl i Atlassian-produkter i de seneste måneder er blevet eftertragtet som angrebsvektor, hvorfor brugerne anbefales at opgradere til de nyeste versioner.

Links:

https://thehackernews.com/2023/02/atlassians-jira-software-found.html