New Jira LogoAtlassian waarschuwt gebruikers van Jira voor een ernstige kwetsbaarheid waarmee aanvallers write-toegang tot Service Management konden krijgen. Daarvoor is het wel nodig dat aanvallers een bepaalde Jira-gebruikerslink krijgen. Er is een patch voor de bug beschikbaar.

Atlassian waarschuwt op een aparte pagina voor de kwetsbaarheid, die trackingnummer CVE-2023-22501 meekrijgt. De bug krijgt een Kritieke classificatie van 9,4 mee. Atlassian heeft ook een faq online gezet met details over de kwetsbaarheid.

De kwetsbaarheid zit in Jira Service Management and Data Center, het centrale platform voor Jira-beheerders. Via de kwetsbaarheid is het mogelijk voor een aanvaller om 'onder voorwaarden' toegang te krijgen tot Jira Service Management. Een aanvaller kan dan tokens onderscheppen die naar bestaande gebruikers zijn gestuurd, maar ook naar gebruikers die nog niet eerder hebben ingelogd. Zo kunnen ze nieuwe gebruikersaccounts aanmaken.

Dat geldt alleen voor zelfgehoste systemen en niet voor Atlassian Cloud-gebruikers, die inmiddels beschermd zijn tegen de bug. Atlassian zegt dat ook installaties die niet via internet benaderbaar zijn de upgrade moeten uitvoeren, al zegt het bedrijf dat bij die installaties de attack surface wel significant kleiner is.

Volgens Atlassian kunnen aanvallers de bug uitbuiten als ze al een gebruikersaccount hebben dat is betrokken bij een Jira-issue, of als een aanvaller toegang heeft tot een e-mail waarin een View Request staat van zo'n gebruiker. Atlassian zegt dat met name bot-accounts vaak onder die voorwaarden zullen vallen.

De kwetsbaarheid zit in versies 5.3.0, 5.3.1, 5.3.2 en in 5.4.0, 5.4.1 en 5.5.0. Het is daar inmiddels opgelost, maar beheerders moeten nog wel een patch installeren. Atlassian heeft drie patches beschikbaar gesteld waarin de bug is gerepareerd: 5.3.3, 5.4.2, 5.5.1 en 5.6.0.

Bron : Tweakers.net