当前位置:首页 > 安全预警 > 正文

JIRA Server JIRA Data Center (CVE-2019-11581) 模版注入漏洞预警

发布时间:2019-07-16 11:11:21,来源:中国信息通信研究院

      一、基本情况

JIRA Server JIRA Data Center 存在模版注入漏洞,CVE编号:CVE-2019-11581。攻击者利用该漏洞可在易受攻击版本的Jira Server或Data Center的系统上远程执行代码。 

      二、漏洞描述

JIRA是一个缺陷跟踪管理系统,为针对缺陷管理、任务追踪和项目管理的商业性应用软件。Jira Server和Data Center,ContactAdministrators和SendBulkMail操作中存在服务器端模板注入漏洞。要使此问题可以被利用,必须至少满足以下条件之一:

1)已在Jira中配置SMTP服务器并启用了联系人管理员表单;

2)已在Jira中配置SMTP服务器,并且攻击者具有“JIRA管理员”访问权限;

在第一种情况下,启用了“联系人管理员表单”,攻击者无需身份验证即可利用此问题。

在第二种情况下,具有“JIRA管理员”访问权限的攻击者可以利用此问题。在任何一种情况下,成功利用此问题都允许攻击者在运行易受攻击版本的Jira Server或Data Center的系统上远程执行代码。

将Jira Server和Jira数据中心升级到7.6.14,7.13.5,8.0.3,8.1.2或8.2.3版本的客户不受影响,使用Jira Cloud的客户不受影响。

      三、影响范围

Atlassian Jira受影响版本:

1)4.4.x、5.x.x、6.x.x

2)7.0.x~7.5.x

3)7.6.x before 7.6.14 (the  fixed version for 7.6.x)

4)7.7.x~7.12.x

5)7.13.x before 7.13.5 (the  fixed version for 7.13.x)

6)8.0.x before 8.0.3 (the  fixed version for 8.0.x)

7)8.1.x before 8.1.2 (the  fixed version for 8.1.x)

8)8.2.x before 8.2.3 (the  fixed version for 8.2.x)

      四、处置建议

Atlassian官方发布了以下版本的Jira Server和Jira Data Center来解决此问题:

8.2.3  https://www.atlassian.com/software/jira/download

8.1.2  https://www.atlassian.com/software/jira/update

8.0.3  https://www.atlassian.com/software/jira/update

7.13.5 https://www.atlassian.com/software/jira/update

7.6.14 https://www.atlassian.com/software/jira/update

如果您无法立即升级Jira,那么可以使用以下临时解决方法缓解:

1)禁用联系人管理员表单;

2)选择 齿轮图标-> 系统;

3)选择 常规配置;

4)单击 编辑设置;

5)向下滚动到“联系人管理员表单”并将其设置为“关闭”;

6)单击 更新;

7)阻止  /secure/admin/SendBulkMail!default.jspa 访问端点。

该操作可以通过直接拒绝反向代理、负载均衡器或Tomcat中的访问控制来实现。

      五、参考链接

https://confluence.atlassian.com/jira/jira-security-advisory-2019-07-10-973486595.html