ГлавнаяБаза уязвимостей БДУ → BDU:2022-04765
8.3высокая

BDU:2022-04765 (CVE-2022-36799)

Уязвимость компонента Velocity Template Handler центра для обработки данных Atlassian Jira Server and Data Center, связанная с ошибками при генерации кода шаблона, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-08-03
Описание

Уязвимость компонента Velocity Template Handler центра для обработки данных Atlassian Jira Server and Data Center связана с ошибками при генерации кода шаблона. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Jira Software Data Center and Server (до 8.13.19)Jira Software Data Center and Server (от 8.14.0 до 8.20.7)Jira Software Data Center and Server (от 8.21.0 до 8.22.1)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование программного средства с минимально необходимым уровнем привилегий;
- ограничение библиотеки XStream для работы с шаблонами для предотвращения внедрения в них вредоносного кода.

Использование рекомендаций:
https://jira.atlassian.com/browse/JRASERVER-73582?jql=labels%20%3D%20CVE-2022-36799
https://vuldb.com/?id.205370

Оценка CVSS
Балл8.3 — высокая опасность
Источники и патчи
https://jira.atlassian.com/browse/JRASERVER-73582?jql=labels%20%3D%20CVE-2022-36799https://vuldb.com/?id.205370
Проверьте безопасность своего сайта и почты → Полная проверка домена