CVE-2019-11581:JIRA服务器模板注入漏洞警报
2019-07-10 00:00
1726 查看
最近,JIRA发布了一个安全公告,修复了服务器端模板注入漏洞(CVE-2019-11581),影响了Jira Server和Jira Data Center。 成功利用此漏洞的攻击者可以远程执行受影响服务器上的代码。 使用Jira Cloud的用户不受影响。
Jira是由Atlassian开发的专有问题跟踪产品,允许错误跟踪和敏捷项目管理。 产品名称是Gojira的截断,Gojira是Godzilla的日语单词,是对竞争对手Bugzilla的引用。
漏洞摘要
该漏洞源自Jira Server和Data Center中的ContactAdministrator和SendBulkMail操作。 成功利用此漏洞至少需要满足以下条件之一:
- SMTP服务器在JIRA中配置,并且启用了“联系人管理员表单”选项。
- SMTP服务器在JIRA中配置,攻击者可以访问“JIRA管理员”。
受影响的版本
以下版本的Jira Server和Jira Data Center受到影响:
Affected version
- 4.4.x
- 5.xx
- 6.xx
- 7.0.x
- 7.1.x
- 7.2.x
- 7.3.x
- 7.4.x
- 7.5.x
- 7.6.14 (7.6.x repaired version) before 7.6.x
- 7.7.x
- 7.8.x
- 7.9.x
- 7.10.x
- 7.11.x
- 7.12.x
- 7.13.x before 7.13.5 (修复版本 7.13.x)
- 8.0.3 (8.0.x 修复版本) 之前 8.0.x
- 8.1.2 (8.1.x 修复版本) 之前 8.1.x
- 8.2.3 (8.2.x 修复版本) 之前 8.2.x
未受影响的版本
以下版本的Jira Server和Jira Data Center不受影响:
- 7.6.14
- 7.13.5
- 8.0.3
- 8.1.2
- 8.2.3
解决方案
Jira官方发布了一个新版本来修复上述漏洞,受影响的用户应该尽快升级Jira Server和Jira Data Center。
- 8.2.3 可以从中下载 https://www.atlassian.com/software/jira/download
- 8.1.2 可以从中下载 https://www.atlassian.com/software/jira/update.
- 8.0.3 可以从中下载 https://www.atlassian.com/software/jira/update.
- 7.13.5 可以从中下载 https://www.atlassian.com/software/jira/update.
- 7.6.14 可以从中下载 https://www.atlassian.com/software/jira/update.
相关文章推荐
- CVE-2019-1710 - Cisco IOS XR 64位软件关键安全漏洞警报
- Apache Camel XML外部实体注入漏洞(CVE-2019-0188)
- CVE-2019-1867:Cisco Elastic Services Controller REST API 身份验证绕过漏洞警报
- CVE-2019-9193,PostgreSQL任意代码执行漏洞警报
- CVE-2019-3398 - Confluence路径遍历漏洞警报
- CVE-2019-0199,Apache Tomcat DoS漏洞警报
- CVE-2019-5736: runc容器逃逸漏洞警报
- Red Hat Candlepin 本地信息泄露漏洞(CVE-2019-3891)
- Confluence 未授权 RCE (CVE-2019-3396) 漏洞分析
- 不需xp_cmdshell支持在有注入漏洞的SQL服务器上运行CMD命令
- 技术文章 |【漏洞公告】 CVE-2017-14596:Joomla! LDAP 注入漏洞
- CVE-2019-0211 - Apache HTTP服务组件中的升级权限漏洞
- Red Hat glusterfs服务器信息泄露漏洞(CVE-2018-10913)
- CVE-2015-7857 Joomla注入漏洞利用工具(Python)
- CVE-2015-7857 Joomla注入漏洞利用工具(Python)
- 微软推出Windows XP/Server 2003紧急安全补丁:修复远程桌面CVE-2019-0708漏洞
- 不需xp_cmdshell支持在有注入漏洞的sql服务器上运行cmd命令_数据库安全
- [EXP]CVE-2019-1821 Cisco Prime Infrastructure思科未授权远程代码执行漏洞
- 再谈cve-2019-0708漏洞最新事情,更新poc及个人说明
- CVE漏洞—PHPCMS2008 /type.php代码注入高危漏洞预警