Разработчики Atlassian предупреждают о критической уязвимости в Jira, которую удаленные злоумышленники могут использовать для обхода аутентификации. Баг затрагивает Seraph, платформу веб-аутентификации в Jira и Jira Service Management.
Уязвимость получила идентификатор CVE-2022-0540 и набрала 9,9 балла из 10 возможных по шкале оценки уязвимостей CVSS. Обнаружение бага приписывают эксперту из компании Viettel Cyber Security.
«Удаленный неавторизованный злоумышленник может воспользоваться проблемой в уязвимой конфигурации, отправив специально подготовленный HTTP-запрос для обхода требований аутентификации и авторизации в действиях WebWork», — объясняют разработчики.
По официальным данным, баг представляет угрозу для следующих продуктов:
- Jira Core Server, Jira Software Server и Jira Software Data Center: все версии до 8.13.18, 8.14.x, 8.15.x, 8.16.x, 8.17.x, 8.18.x, 8.19.x, 8.20.x до 8.20. 6 и 8.21.x;
- Jira Service Management Server и Jira Service Management Data Center: все версии до 4.13.18, 4.14.x, 4.15.x, 4.16.x, 4.17.x, 4.18.x, 4.19.x, 4.20.x до 4.20.6, и 4.21.х.
Проблема была устранена в составе Jira и Jira Service Management: 8.13.18, 8.20.6 и 8.22.0, а также 4.13.18, 4.20.6 и 4.22.0. Пользователям рекомендуется как можно скорее обновить затронутые приложения до безопасных версий или временно отказать от их использования.