Ejecución remota de código en múltiples productos de Atlassian

Fecha de publicación 21/10/2021
Importancia
5 - Crítica
Recursos Afectados
  • Insight - Asset Management App, todas las versiones:
    • 5.x,
    • 6.x,
    • 7.x,
    • 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x, 8.5.x, 8.6.x, 8.7.x, 8.8.x, y
    • 8.9.x anteriores a la 8.9.3.
  • Jira Service Management Data Center and Server, todas las versiones:
    • 4.15.x (Insight v. 9.0.x incluida),
    • 4.16.x (Insight v. 9.0.x incluida),
    • 4.17.x (Insight v. 9.0.x incluida),
    • 4.18.x (Insight v. 9.0.x incluida) y
    • 4.19.x (Insight v. 9.1.0 incluida).
Descripción

El investigador, Khoadha, de Viettel Cyber Security, ha reportado a Atlassian una vulnerabilidad de severidad crítica que podría permitir a un atacante la ejecución remota de código.

Solución

Actualizar Insight - Asset Management Marketplace App a la versión 8.9.3 y Jira Service Management Data Center and Server a la versión 4.20.0 (Insight v.9.1.2 incluida) desde su centro de software.

Detalle

Una función nativa de la librería de la base de datos H2 DB podría permitir a un atacante la ejecución remota de código en el servidor si este está autenticado en Jira y cuenta con permisos de usuario o grupo, como Insight administrator u Object Schema Manager. Se ha asignado el identificador CVE-2018-10054 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Jira Service Management Security Advisory 2021-10-20
Etiquetas