Technology

Atlassian menambal kerentanan template email di Jira – Keamanan

Atlassian telah menambal produk Jira Server dan Pusat Data terhadap bug tingkat tinggi yang dapat dieksploitasi di template email produk.

Bug tersebut diungkapkan dalam tiket ini, dan telah diberi nomor kerentanan CVE-2022-36799.

Tiket menjelaskan bahwa versi Jira Server dan Pusat Data yang terpengaruh “memungkinkan penyerang jarak jauh dengan izin administrator sistem untuk mengeksekusi kode arbitrer melalui Injeksi Template yang mengarah ke eksekusi kode jarak jauh (RCE) di fitur Template Email.

“Dalam hal ini peningkatan keamanan adalah untuk melindungi dari penggunaan pustaka XStream agar dapat mengeksekusi kode arbitrer dalam templat kecepatan.

“Versi yang terpengaruh adalah sebelum versi 8.13.19, dari versi 8.14.0 sebelum 8.20.7, dan dari versi 8.21.0 sebelum 8.22.1.”

Meskipun hanya dapat dieksploitasi oleh administrator sistem, Atlassian masih memberi bug skor Sistem Skor Kerentanan Umum sebesar 7,8.

Versi tetap adalah Jira Server dan Data Center 8.13.19, 8.20.7, 8.22.1, dan 9.0.0.

Tingkatkan peringatan

Selain itu, setelah mengungkapkan bug kredensial hardcoded dalam produk Confluence-nya bulan lalu, Atlassian meningkatkan peringatannya menjadi using, dengan mengatakan: “Pihak eksternal telah menemukan dan secara publik mengungkapkan kata sandi hardcoded di Twitter.

“Penting untuk segera memulihkan kerentanan ini pada sistem yang terpengaruh.”

Publikasi hardcoded password menyebabkan US Cybersecurity and Infrastructure Security Agency (CISA) menambahkan kerentanan, CVE-2022-26138, ke Katalog Kerentanan yang Dikenal Eksploitasi.

Posted By : pengeluaran hk hari ini 2021