首页 > 安全研究 > 安全通报 > 安全通告

Jira Server和Service Desk多个漏洞安全通告

发布时间 2019-09-23

漏洞编号和级别


CVE编号:CVE-2019-14994,危险级别:高危,CVSS分值:7.5

CVE编号:CVE-2019-15001,危险级别:严重,CVSS分值:7.2


影响版本


CVE-2019-14994

Affected Jira Service Desk Server and Jira Service Desk Data Center Versions

version < 3.9.16

3.10.0 <= version < 3.16.8

4.0.0 <= version < 4.1.3

4.2.0 <= version < 4.2.5

4.3.0 <= version < 4.3.4

4.4.0 <= version < 4.4.1


CVE-2019-15001

Affected Jira Server & Jira Data Center Versions

starting with 7.0.10

7.1.x

7.2.x

7.3.x

7.4.x

7.5.x

7.6.x before 7.6.16 (the fixed version for 7.6.x)

7.7.x

7.8.x

7.9.x

7.10.x

7.11.x

7.12.x

7.13.x before 7.13.8 (the fixed version for 7.13.x)

8.0.x  

8.1.x before 8.1.3 (the fixed version for 8.1.x)

8.2.x before 8.2.5 (the fixed version for 8.2.x)

8.3.x before 8.3.4 (the fixed version for 8.3.x)

8.4.0


漏洞概述


Atlassian发布Jira Server和Service Desk的安全更新,修复两个安全漏洞。


CVE-2019-14994


Atlassian Jira Service Desk Server和Atlassian Jira Service Desk Data Center都是澳大利亚Atlassian公司的产品。Atlassian Jira Service Desk Server是一套IT服务台与请求跟踪系统的服务器版本。该系统主要用于接收、跟踪和管理团队客户的请求。Atlassian Jira Service Desk Data Center是Atlassian Jira Service Desk的数据中心版本。


Customer Context Filter是其中的一个上下文过滤器。 Atlassian Jira Service Desk Server和Atlassian Jira Service Desk Data Center中的Customer Context Filter存在路径遍历漏洞。该漏洞源于网络系统或产品未能正确地过滤资源或文件路径中的特殊元素。攻击者可以利用此漏洞查看目标实例中的所有Jira项目,包括Service Desk项目、Jira Core项目和Jira Software项目。


研究人员报告称2.5万多个易受攻击的实例在网上暴露,它们属于医疗、政府、教育和制造行业等。


CVE-2019-15001


Atlassian JIRA Server和Atlassian JIRA Data Center都是澳大利亚Atlassian(Atlassian)公司的产品。Atlassian JIRA Server是一套缺陷跟踪管理系统的服务器版本。该系统主要用于对工作中各类问题、缺陷进行跟踪管理。Atlassian JIRA Data Center是Atlassian JIRA的数据中心版本。


Jira Importers Plugin(JIM)是其中的一个文件/数据导入插件。 Atlassian JIRA Server和Atlassian JIRA Data Center中的Jira Importers Plugin存在注入漏洞。该漏洞源于用户输入构造命令、数据结构或记录的操作过程中,网络系统或产品缺乏对用户输入数据的正确验证,未过滤或未正确过滤掉其中的特殊元素,导致系统或产品产生解析或解释方式错误。


漏洞验证


暂无POC/EXP。


修复建议


目前厂商已发布升级补丁以修复漏洞,下载链接:

https://confluence.atlassian.com/jira/jira-service-desk-security-advisory-2019-09-18-976171274.html

https://confluence.atlassian.com/jira/jira-security-advisory-2019-09-18-976766250.html


参考链接


https://www.bleepingcomputer.com/news/security/jira-server-and-service-desk-fix-critical-security-bugs/


上一篇 下一篇