Atlassian Jira < 8.13.19 / 8.14.x < 8.20.7 / 8.21.x < 8.22.1 RCE (JRASERVER-73582)

high Nessus Plugin ID 165178

Synopsis

遠端 Web 伺服器主控的一個 Web 應用程式受到遠端程式碼執行弱點影響。

描述

根據其自我報告的版本號碼,遠端 Web 伺服器上主控的 Atlassian Jira 執行個體受到一個遠端程式碼執行弱點的影響。受影響的 Atlassian Jira Server and Data Center 允許具有系統管理員權限的遠端攻擊者,透過範本注入執行任意程式碼,進而導致電郵範本功能出現遠端程式碼執行漏洞。在這種情況下,改善安全性是為了防止使用 XStream 程式庫在速度範本中執行任意程式碼。

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 Atlassian Jira 8.13.19、8.20.7、8.22.1 或更新版本。

另請參閱

https://jira.atlassian.com/browse/JRASERVER-73582

Plugin 詳細資訊

嚴重性: High

ID: 165178

檔案名稱: jira_8_22_1_jraserver-73582.nasl

版本: 1.3

類型: combined

代理程式: windows, macosx, unix

系列: CGI abuses

已發布: 2022/9/15

已更新: 2022/12/5

支持的傳感器: Nessus Agent

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 8.3

時間分數: 6.1

媒介: AV:N/AC:L/Au:M/C:C/I:C/A:C

時間媒介: E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2022-36799

CVSS v3

風險因素: High

基本分數: 7.2

時間分數: 6.3

媒介: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

時間媒介: E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:atlassian:jira

必要的 KB 項目: installed_sw/Atlassian JIRA

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2022/3/15

弱點發布日期: 2022/1/1

參考資訊

CVE: CVE-2022-36799