Atlassian vá lỗ hổng nghiêm trọng trên Jira

[Ginny Hà]

​

Atlassian tuần qua cảnh báo người dùng về lỗ hổng an ninh nghiêm trọng trong plug-in server Jira, có thể dẫn đến rò rỉ thông tin đăng nhập.

Plugin di động cho Trung tâm Dữ liệu và Máy chủ Jira được sử dụng để hỗ trợ người dùng truy cập máy chủ từ các ứng dụng iOS và Android.

Theo cảnh báo an ninh của hãng, Máy chủ Jira và Trung tâm dữ liệu phiên bản trước 8.13.22; từ phiên bản 8.14.0 đến trước 8.20.10; và từ phiên bản 8.21.0 đến trước 8.22.4 bị ảnh hưởng bởi lỗ hổng này.

Cũng bị ảnh hưởng là các phiên bản Trung tâm Dữ liệu và Máy chủ Quản lý Dịch vụ Jira trước 4.13.22; từ phiên bản 4.14.0 đến trước 4.20.10; và từ phiên bản 4.21.0 đến trước 4.22.4.

Các trang đám mây được truy cập thông qua miền atlassian.net không bị ảnh hưởng.

Lỗ hổng CVE-2022-26135 được mô tả là "giả mạo yêu cầu phía máy chủ đọc đầy đủ (full-read)".

Cũng theo cảnh báo, mặc dù lỗ hổng chỉ có thể được khai thác bởi một người dùng đã xác thực, bao gồm một người đã “tham gia thông qua tính năng đăng ký”, nó đặc biệt ảnh hưởng đến điểm cuối HTTP sử dụng trong Plugin di động cho Jira. Có thể kiểm soát phương thức HTTP và vị trí của URL dự kiến thông qua tham số phương thức trong phần thân của điểm cuối bị ảnh hưởng”.

Atlassian cho biết lỗ hổng ảnh hưởng cụ thể đối với từng môi trường triển khai, ví dụ như, “khi được triển khai trong AWS, nó có thể làm rò rỉ thông tin xác thực nhạy cảm”.

Nguồn: ITnews​