ГлавнаяБаза уязвимостей БДУ → BDU:2023-00620
9.7критическая

BDU:2023-00620

Уязвимость программных продуктов обработки данных Atlassian Jira Service Management и Data Center, связанная с ошибками аутентификации, позволяющая нарушителю повысить свои привилегии
Опубликовано: 2023-02-08
Описание

Уязвимость программных продуктов обработки данных Atlassian Jira Service Management и Data Center связана с ошибками аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии

Затрагиваемое ПО и версии
Jira Service Management Server and Data Center (от 5.3.0 до 5.3.3)Jira Service Management Server and Data Center (от 5.4.0 до 5.4.2)Jira Service Management Server and Data Center (от 5.5.0 до 5.5.1)Jira Service Management Server and Data Center (до 5.6.0)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение возможности записи в пользовательский каталог Jira Service Management;
- ограничение доступа к электронной почте, привязанной к Jira Service Management для невозможности получения доступа к токенам регистрации;
- отключение функционала «Public signup (Публичная регистрация)»;
- отключение функционала «Self signup (Самостоятельная регистрация)».

Использование рекомендаций:
https://jira.atlassian.com/browse/JSDSERVER-12312

Оценка CVSS
Балл9.7 — критическая опасность
Источники и патчи
https://jira.atlassian.com/browse/JSDSERVER-12312
Проверьте безопасность своего сайта и почты → Полная проверка домена