2024 - Atlassian corrige une grave faille d'authentification Jira

Atlassian a révélé avoir corrigé une faille majeure dans ses produits Service Management Server et Data Center.

La vulnérabilité, identifiée comme CVE-2023-22501, permet aux pirates de se faire passer pour (s’ouvre dans un nouvel onglet) personnes et accéder à une instance Jira Service Management dans certaines circonstances. Il a reçu un score de gravité de 9,4, ce qui en fait un défaut critique.

« Avec l’accès en écriture à un répertoire d’utilisateurs et les e-mails sortants activés sur une instance Jira Service Management, un attaquant pourrait accéder aux jetons d’inscription envoyés aux utilisateurs avec des comptes qui n’ont jamais été connectés », a noté Atlassian dans sa description de la vulnérabilité. .

Versions vulnérables

La société a expliqué qu’un acteur malveillant pourrait être en mesure d’obtenir les jetons en étant inclus dans les problèmes ou les demandes Jira avec les utilisateurs, ou s’il obtient d’une manière ou d’une autre un e-mail avec le lien « Afficher la demande ».

« Les comptes de robots sont particulièrement sensibles à ce scénario », a expliqué Atlassian. « Sur les instances avec authentification unique, les comptes clients externes peuvent être affectés dans les projets où n’importe qui peut créer son propre compte. »

Voici les versions de Jira vulnérables à la faille : 5.3.0 ; 5.3.1 ; 5.3.2 ; 5.4.0 ; 5.4.1 et 5.5.0. Pour plus de sécurité, assurez-vous de mettre votre Jira à jour vers les versions 5.3.3 ; 5.4.2 ; 5.5.1 ou 5.6.0.

Les produits Atlassian semblent être une cible populaire parmi les cybercriminels. En octobre de l’année dernière, la Cybersecurity and Infrastructure Agency (CISA) des États-Unis a noté qu’une faille de haute gravité trouvée dans deux outils Atlassian Bitbucket largement utilisés – Server et Data Center, était activement exploitée dans la nature.

Avant cela, en juillet, il a été signalé que Jira, Confluence et Bamboo étaient vulnérables à CVE-2022-26136, un contournement arbitraire du filtre de servlet qui permettait aux pirates de contourner les filtres de servlet personnalisés que les applications tierces utilisent pour l’authentification. La faille a été jugée de haute gravité.

Via : Infosecurity Magazine (s’ouvre dans un nouvel onglet)

Source-130

Atlassian corrige une grave faille d’authentification Jira

Latest

Nikki Garcia efface tous ses posts Instagram après son divorce avec Artem Chigvintsev de ‘DWTS’

Titre : La condescendance de Band Aid : doit-on fermer les banques alimentaires et les magasins de charité ?

Camilla : Accusée de ‘méchante belle-mère’ dans un documentaire alors qu’elle soutient le roi Charles face à une infection thoracique

Tom Sandoval critiqué après l’annonce de la fermeture du lounge Schwartz & Sandy suite au Scandoval : ‘Vous avez détruit votre propre affaire’

Joey Essex se lance à la conquête des États-Unis après son succès en télé-réalité au Royaume-Uni : à la recherche de l’amour américain

Un week-end prolongé pour célébrer le 80e anniversaire de la fin de la Seconde Guerre mondiale au Royaume-Uni l’année prochaine

Donald Trump réagit à l’enquête concernant son ancien assistant

Zach Bryan domine les nominations des Billboard Awards 2024 avec 21 mentions, suivi de près par Taylor Swift avec 17 nominations.