По данным издания Bleeping Computer, компания Atlassian, разрабатывающая Jira и Trello, недавно закрыла критическую уязвимость в одном из своих продуктов.
Выяснилось, что во фреймворке Seraph, использующемся для разработки Jira (в частности, для работы с сервисами аутентификации), была найдена брешь в безопасности. Она позволяла обойти процесс аутентификации в веб-версии приложения.
Подобная уязвимость представляет серьезную угрозу, так как Seraph используется для авторизации в Jira и Confluence. Уровень угрозы обнаруженного сбоя составил 9.9 баллов по шкале оценки уязвимостей, то есть речь идет о критической проблеме. Используя найденную ошибку, злоумышленники могут отправить специальный HTTP-запрос и получить доступ к персональным данным, игнорируя процедуру аутентификации.
Под угрозой оказались приложения Jira Core Server, Software Server и Software Data Center, также Service Management Server и Management Data Center (более подробно о затронутых версиях можно узнать в отчете Atlassian). Облачные версии Jira и Jira Service Management уязвимость не задела.
Разработчики из Atlassian и специалисты по безопасности рекомендуют как можно скорее обновить продукты Atlassian до последней версии, где найденная уязвимость уже отсутствует.
Комментарии