Atlassian phát hành bản vá lỗ hổng nghiêm trọng trong các sản phẩm Jira
Cụ thể, lỗ hổng định danh CVE-2022-0540 có điểm CVSS 9,9, cho phép tin tặc từ xa qua mặt bước xác thực bằng cách gửi một yêu cầu HTTP đặc biệt tới các điểm cuối dễ bị tấn công.
Các sản phẩm bị ảnh hưởng bao gồm Jira Core Server, Software Data Center, Software Server, Service Management Server và Management Data Center. Lỗ hổng không ảnh hưởng đến các phiên bản đám mây cho Jira và Jira Service Management.
Theo Atlassian, tin tặc tấn công từ xa chỉ có thể xâm phạm các sản phẩm bị ảnh hưởng nếu chúng sử dụng một cấu hình cụ thể trong Seraph.
Mức độ nghiêm trọng của việc khai thác lỗ hổng này cũng khác nhau tùy thuộc vào ứng dụng được sử dụng và liệu chúng có sử dụng tính năng kiểm tra quyền bổ sung trên các ứng dụng trong cấu hình của Seraph hay không.
Hai ứng dụng cũng bị ảnh hưởng bởi lỗ hổng này là Insight - Asset Management và Mobile Plugin cho Jira.
Các ứng dụng của bên thứ ba, như những ứng dụng bên ngoài Atlassian Marketplace hoặc do khách hàng tự phát triển, cũng bị ảnh hưởng nếu chúng phụ thuộc vào cấu hình dễ bị tấn công.
Người dùng được khuyến nghị cập nhật lên các phiên bản mới nhất tắt các ứng dụng dễ bị tấn công để tránh rủi ro mất an toàn thông tin.
Lê Hào