آسیب‌پذیری بحرانی دور زدن احراز هویت در نرم‌افزار Jira

این آسیب‌پذیری که در نرم‌افزار Jira Seraph افشا شده است، به مهاجم احراز هویت نشده اجازه می‌دهد تا با ارسال یک درخواست ساختگی HTTP از راه دور احراز هویت را دور بزند. آسیب‌پذیری مذکور بر محصولات Jira و Jira Service Management تاثیر می‌گذارد.

این آسیب‌پذیری با شناسه "CVE-2022-0540" و شدت ۹.۹ در Jira Seraph شناسایی شده است. Seraph چارچوبی است که برنامه‌های کاربردی وب ارائه شده توسط این شرکت را ایمن می‌کند و با Seraph، تمام درخواست‌های ورود و خروج برای Jira و Confluence از طریق عناصر اصلی قابل اتصال انجام می‌شود. مهاجم می‌تواند از این آسیب‌پذیری با ارسال یک درخواست HTTP ساختگی برای دور زدن احراز هویت سوءاستفاده کند.

محصولات تحت تأثیر

محصولات تحت تاثیر و نسخه‌های آسیب‌پذیر آنها در جدول زیر آورده شده است.

این در حالی است که تمام نسخه‌های مدیریت سرویس Jira و Jira Cloud تحت تاثیر این آسیب‌پذیری قرار نمی‌گیرند. علاوه بر این اگر مهاجمان از راه دور از یک پیکربندی خاص در Seraph استفاده کنند، تنها می‌توانند محصولات آسیب‌پذیر را به خطر بیندازد.

این آسیب‌پذیری دو اپلیکیشن تلفن همراه را برای Jira تحت تاثیر قرار می‌دهد که در ادامه به آنها اشاره می‌شود:

  • Insight – Asset Management
  • Mobile Plugin

توصیه امنیتی

به‌روزرسانی‌های امنیتی در نسخه‌های زیر منتشر شده است. به کاربران توصیه می‌شود در اسرع وقت نسبت به به‌روزرسانی اقدام نمایند.

بسته به در دسترس بودن وصله‌های فوری، این شرکت دو گزینه را ارائه می‌دهد:

  • به روز رسانی برنامه های آسیب دیده به آخرین نسخه.

یا

  • آنها را به طور کلی غیرفعال کنید.

منابع:

  1. https://gbhackers.com/critical-jira-vulnerability
  2. https://nvd.nist.gov/vuln/detail/CVE-2022-0540#:~:text=Description,and%20later%20before%208.‎22.‎0