Atlassian, Jira hizmet yönetimi sunucusunda ve Jira veri merkezi yazılımında kritik bir kimlik doğrulama hatasını kapatmak için harekete geçti.
Şirketin tavsiyesine göre CVE-2023-22501, ürünlerin 5.3.0, 5.3.1, 5.3.2, 5.4.0, 5.4.1 ve 5.5.0 sürümlerini etkiler.
Sorun, bir saldırganın bir kullanıcının kimliğine bürünerek bir Jira hizmet yönetimi örneğine erişmesine izin veren bir kimlik doğrulama güvenlik açığıdır.
Atlassian, “Bir kullanıcı dizinine yazma erişimi ve bir Jira hizmet yönetimi eşgörünümünde giden e-postaya erişim etkinleştirildiğinde, bir saldırgan, hiç oturum açmamış hesaplara sahip kullanıcılara gönderilen kayıt belirteçlerine erişim sağlayabilir” dedi.
Saldırgan, meşru kullanıcılarla ilgili Jira sorunlarına veya isteklerine dahil olursa belirteçler elde edilebilir; veya saldırgan meşru bir kullanıcıdan gelen “isteği görüntüle” bağlantısını içeren e-postalara erişirse.
Danışma belgesi, bot hesaplarının “özellikle hassas” olduğunu söyledi.
Şirket, “Tek oturum açmalı örneklerde, herkesin kendi hesabını oluşturabileceği projelerde harici müşteri hesapları etkilenebilir” dedi.
Sorun, Jira hizmet yönetimi 5.3.3, 5.4.2, 5.5.1 ve 5.6.0 veya sonraki sürümlerinde yamalanmıştır.
Bir müşteri yükseltemezse, hassas JAR dosyasına bir yama uygulayabilir.