ГлавнаяБаза уязвимостей БДУ → BDU:2022-06964
10критическая

BDU:2022-06964

Уязвимость прикладного программного интерфейса REST программного продукта обработки данных Atlassian Crowd, позволяющая нарушителю повысить свои привилегии
Опубликовано: 2022-11-25
Описание

Уязвимость прикладного программного интерфейса REST программного продукта обработки данных Atlassian Crowd связана с ошибками при проведении процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии

Затрагиваемое ПО и версии
Crowd (от 3.0.0 до 4.4.4)Crowd (от 5.0.0 до 5.0.3)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение возможности доступа к приложению с удаленных IP-адресов:
1. Получить доступ к консоли администрирования Crowd, перейдя по URL-адресам: http://localhost:8095/crowd http://localhost:8095/crowd/console.
2. В «Браузере приложений» перейти в Crowd.
3. На экране перейти во вкладку «Удаленные адреса» и удалить из списка IP-адреса с именами хостов, используемые для удаленного управления.

Использование рекомендаций производителя:
https://jira.atlassian.com/browse/CWD-5888

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://jira.atlassian.com/browse/CWD-5888
Проверьте безопасность своего сайта и почты → Полная проверка домена