手机版
你好,游客 登录 注册
背景:
阅读新闻

CVE-2019-11581:JIRA服务器模板注入漏洞警报

[日期:2019-07-16] 来源:Linux公社  作者:醉落红尘 [字体: ]

最近,JIRA发布了一个安全公告,修复了服务器端模板注入漏洞(CVE-2019-11581),影响了Jira Server和Jira Data Center。 成功利用此漏洞的攻击者可以远程执行受影响服务器上的代码。 使用Jira Cloud的用户不受影响。

Jira是由Atlassian开发的专有问题跟踪产品,允许错误跟踪和敏捷项目管理。 产品名称是Gojira的截断,Gojira是Godzilla的日语单词,是对竞争对手Bugzilla的引用。

漏洞摘要

该漏洞源自Jira Server和Data Center中的ContactAdministrator和SendBulkMail操作。 成功利用此漏洞至少需要满足以下条件之一:

  • SMTP服务器在JIRA中配置,并且启用了“联系人管理员表单”选项。
  • SMTP服务器在JIRA中配置,攻击者可以访问“JIRA管理员”。

受影响的版本

以下版本的Jira Server和Jira Data Center受到影响:

Affected version

  • 4.4.x
  • 5.xx
  • 6.xx
  • 7.0.x
  • 7.1.x
  • 7.2.x
  • 7.3.x
  • 7.4.x
  • 7.5.x
  • 7.6.14 (7.6.x repaired version) before 7.6.x
  • 7.7.x
  • 7.8.x
  • 7.9.x
  • 7.10.x
  • 7.11.x
  • 7.12.x
  • 7.13.x before 7.13.5 (修复版本 7.13.x)
  • 8.0.3 (8.0.x 修复版本) 之前 8.0.x
  • 8.1.2 (8.1.x 修复版本) 之前 8.1.x
  • 8.2.3 (8.2.x 修复版本) 之前 8.2.x

未受影响的版本

以下版本的Jira Server和Jira Data Center不受影响:

  • 7.6.14
  • 7.13.5
  • 8.0.3
  • 8.1.2
  • 8.2.3

解决方案

Jira官方发布了一个新版本来修复上述漏洞,受影响的用户应该尽快升级Jira Server和Jira Data Center。

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2019-07/159376.htm

linux
相关资讯       JIRA  CVE-2019-11581 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款