Đang tải

Đang tải

Bạn có biết không?

Chuyên phần mềm bản quyền

Atlassian vừa phát hành bản vá khắc phục lỗ hổng nghiêm trọng ảnh hưởng đến Jira Service Management Server and Data Center.

Lỗ hổng có mã định danh CVE-2023-22501 (điểm CVSS là 9,4), tồn tại do xác thực không đúng cách. Bằng cách gửi một yêu cầu tự tạo, kẻ tấn công có thể khai thác lỗ hổng để mạo danh người dùng khác, đồng thời chiếm quyền truy cập vào đối tượng Quản lý dịch vụ Jira.

Atlassian cho biết:“Lỗ hổng cho phép kẻ tấn công mạo danh người dùng khác và giành quyền truy cập vào đối tượng Quản lý dịch vụ Jira trong một số trường hợp nhất định. Nếu có quyền ghi vào Thư mục người dùng (User Directory) và email gửi đi được bật trên đối tượng Quản lý dịch vụ Jira đó, kẻ tấn công có thể lấy được quyền truy cập vào token đăng ký được gửi cho người dùng có tài khoản chưa bao giờ đăng nhập”.

Lỗ hổng ảnh hưởng đến Jira Service Management Server and Data Center các phiên bản 5.3.0, 5.3.1, 5.3.2, 5.4.0, 5.4.1 và 5.5.0. Trong đó, các phiên bản từ 5.3. 3, 5.4.2, 5.5.1, 5.6.0 trở lên đã có bản vá. Ngoài ra, người dùng có thể nâng cấp thủ công tệp JAR servicedesk-variable-substitution-plugin như một giải pháp tạm thời.

Mặc dù Atlassian cho hay lỗ hổng chưa bị khai thác trên thực tế nhưng người dùng vẫn nên kiểm tra phiên bản của mình để phát hiện truy cập trái phép.

Nguồn: Security Online

Chia sẽ bài viết

Bài viết liên quan

VMware vá lỗ hổng cho phép kẻ tấn c

VMware vừa phát hành các bản cập nhật để ...

Atlassian khuyến cáo vá lỗ hổng nghi�

Atlassian đã khuyến cáo khách hàng “cần hàn...

CISA cảnh báo lỗi nghiêm trọng trên

Cơ quan An ninh cơ sở hạ tầng và an ninh mạn...

Leave a Comment