ГлавнаяБаза уязвимостей БДУ → BDU:2023-00009
9высокая

BDU:2023-00009 (CVE-2022-36803)

Уязвимость прикладного программного интерфейса MasterUserEdit облачного корпоративного решения для планирования и управления программными и ИТ-проектами Jira Align (ранее AgileCraft), позволяющая нарушителю повысить свои привилегии
Опубликовано: 2023-01-03
Описание

Уязвимость прикладного программного интерфейса MasterUserEdit облачного корпоративного решения для планирования и управления программными и ИТ-проектами Jira Align (ранее AgileCraft) связана с ошибками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии

Затрагиваемое ПО и версии
Jira Align (до 10.109.2)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удаленного доступа к API;
- мониторинг действий пользователей;
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- принудительная смена паролей пользователей;

Использование рекомендаций:
https://jira.atlassian.com/browse/JIRAALIGN-4281

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2022-36803https://jira.atlassian.com/browse/JIRAALIGN-4281https://vuldb.com/?id.210824
Проверьте безопасность своего сайта и почты → Полная проверка домена