Устраненная уязвимость в Jira позволяла получить конфиденциальную информацию о пользователях

Эксперт Positive Technologies Михаил Ключников выявил уязвимость в компонентах Jira — популярной системы для отслеживания ошибок, организации взаимодействия с пользователями и управления проектами. Уязвимость позволяла получить конфиденциальную информацию о пользователях системы. Продукты разработчика Jira — компании Atlassian — применяют 170 тыс. клиентов более чем в 190 странах, в том числе 83% компаний из рейтинга Fortune Global 500.
«Подобные уязвимости существенно экономят время атакующему: они дают возможность определить наличие учетной записи с тем или иным логином в системе, — рассказал Михаил Ключников. — Путем перебора различных логинов выясняется, какие пользователи присутствуют в системе. Если логина нет, система об этом сообщит, если есть — выдаст еще и персональные данные (если они в систему занесены). После перебора существующих логинов, атакующий мог перейти к подбору паролей к каждому существующему пользователю. В отсутствие этой уязвимости злоумышленнику приходится вслепую осуществлять брутфорс паролей к логинам, которых может и не быть в системе. Уязвимость уменьшает трудозатраты хакера и снижает вероятность обнаружения атаки, что в конечном счете делает мишень более привлекательной для хакера. И поэтому мы настоятельно рекомендуем обновиться».

Недостаток безопасности получил идентификатор CVE-2020-14181 и оценку 5,3, что соответствует среднему уровню опасности. Причина возникновения ошибки связана с возможностью обращаться к определенному сценарию любому неавторизованному пользователю. Уязвимость затронула Jira Server и Data Center. Компания опубликовала обновления, в которых данная ошибка исправлена. Уязвимость устранена в 7.13.6, 8.5.7 и 8.12.0 версиях продуктов.

Широкая распространенность продуктов компании Atlassian нередко привлекает злоумышленников. Так, в 2019 году эксперты Positive Technologies выявили попытки массовой эксплуатации критически опасной уязвимости в Confluence.

ptsecurity.com.

Следите за нашими новостями в Телеграм-канале Connect


Поделиться:



Следите за нашими новостями в
Телеграм-канале Connect

Спецпроект

Цифровой девелопмент

Подробнее
Спецпроект

Машиностроительные предприятия инвестируют в ПО

Подробнее


Подпишитесь
на нашу рассылку