Ejecución remota de código en múltiples productos de Atlassian
Fecha de publicación 21/10/2021
Importancia
5 - Crítica
Recursos Afectados
- Insight - Asset Management App, todas las versiones:
- 5.x,
- 6.x,
- 7.x,
- 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x, 8.5.x, 8.6.x, 8.7.x, 8.8.x, y
- 8.9.x anteriores a la 8.9.3.
- Jira Service Management Data Center and Server, todas las versiones:
- 4.15.x (Insight v. 9.0.x incluida),
- 4.16.x (Insight v. 9.0.x incluida),
- 4.17.x (Insight v. 9.0.x incluida),
- 4.18.x (Insight v. 9.0.x incluida) y
- 4.19.x (Insight v. 9.1.0 incluida).
Descripción
El investigador, Khoadha, de Viettel Cyber Security, ha reportado a Atlassian una vulnerabilidad de severidad crítica que podría permitir a un atacante la ejecución remota de código.
Solución
Actualizar Insight - Asset Management Marketplace App a la versión 8.9.3 y Jira Service Management Data Center and Server a la versión 4.20.0 (Insight v.9.1.2 incluida) desde su centro de software.
Detalle
Una función nativa de la librería de la base de datos H2 DB podría permitir a un atacante la ejecución remota de código en el servidor si este está autenticado en Jira y cuenta con permisos de usuario o grupo, como Insight administrator u Object Schema Manager. Se ha asignado el identificador CVE-2018-10054 para esta vulnerabilidad.
Listado de referencias
Etiquetas