CVE-2019-11581：JIRA服务器模板注入漏洞警报

最近，JIRA发布了一个安全公告，修复了服务器端模板注入漏洞（CVE-2019-11581），影响了Jira Server和Jira Data Center。 成功利用此漏洞的攻击者可以远程执行受影响服务器上的代码。 使用Jira Cloud的用户不受影响。

Jira是由Atlassian开发的专有问题跟踪产品，允许错误跟踪和敏捷项目管理。 产品名称是Gojira的截断，Gojira是Godzilla的日语单词，是对竞争对手Bugzilla的引用。

漏洞摘要

该漏洞源自Jira Server和Data Center中的ContactAdministrator和SendBulkMail操作。 成功利用此漏洞至少需要满足以下条件之一：

• SMTP服务器在JIRA中配置，并且启用了“联系人管理员表单”选项。
• SMTP服务器在JIRA中配置，攻击者可以访问“JIRA管理员”。

受影响的版本

以下版本的Jira Server和Jira Data Center受到影响：

Affected version

• 4.4.x
• 5.xx
• 6.xx
• 7.0.x
• 7.1.x
• 7.2.x
• 7.3.x
• 7.4.x
• 7.5.x
• 7.6.14 (7.6.x repaired version) before 7.6.x
• 7.7.x
• 7.8.x
• 7.9.x
• 7.10.x
• 7.11.x
• 7.12.x
• 7.13.x before 7.13.5 (修复版本 7.13.x)
• 8.0.3 (8.0.x 修复版本) 之前 8.0.x
• 8.1.2 (8.1.x 修复版本) 之前 8.1.x
• 8.2.3 (8.2.x 修复版本) 之前 8.2.x

未受影响的版本

以下版本的Jira Server和Jira Data Center不受影响：

• 7.6.14
• 7.13.5
• 8.0.3
• 8.1.2
• 8.2.3

解决方案

Jira官方发布了一个新版本来修复上述漏洞，受影响的用户应该尽快升级Jira Server和Jira Data Center。

• 8.2.3 可以从中下载 https://www.atlassian.com/software/jira/download
• 8.1.2 可以从中下载 https://www.atlassian.com/software/jira/update.
• 8.0.3 可以从中下载 https://www.atlassian.com/software/jira/update.
• 7.13.5 可以从中下载 https://www.atlassian.com/software/jira/update.
• 7.6.14 可以从中下载 https://www.atlassian.com/software/jira/update.