Atlassian製PMツール「Jira Server」に深刻な脆弱性 - リモートよりコード実行のおそれ

Atlassianが提供するプロジェクト管理ツール「Jira Server」に、深刻な脆弱性が含まれていることが明らかとなった。リモートより悪用されるおそれがある。

意図しないテンプレートが挿入され、リモートよりコードの実行が可能となる「CVE-2019-11581」が明らかとなったもの。同社は脆弱性の重要度を、4段階中もっとも高い「クリティカル（Critical）」とレーティングしている。

「Jira Server」「Jira Data Center」に影響があり、「Jira Software」「Jira Core」「Jira Service Desk」なども含まれる。一方「Jira Cloud」は影響は受けない。

同ソフトのSMTPサーバを利用しており、攻撃者が管理者権限を持つ場合や、権限を持たない場合も管理者へ連絡を取るためのフォームが有効化され、アクセスできる場合に悪用されるおそれがある。

同社は、利用者に対して脆弱性の影響を受けない「同8.2.3」「同8.1.2」「同8.0.3」「同7.13.5」「同7.6.14」へアップデートするよう求めている。

（Security NEXT - 2019/07/16 ） ツイート

PR

関連記事

ファイルサーバ「goshs」に認証回避など複数脆弱性 - 修正版を公開
「Apache ActiveMQ」にRCE脆弱性 - 悪用が確認され「KEV」にも登録
「Cisco ISE」に複数の深刻な脆弱性 - 一部修正パッチを準備中
「Ivanti Neurons for ITSM」に脆弱性 - アップデートを提供
SAP、月例セキュリティアドバイザリ19件を公開 - 「クリティカル」も
「Cisco Webex」のSSO連携に深刻な脆弱性 - 証明書の更新を
「Chrome」が脆弱性31件を修正 - 5件は「クリティカル」
「Adobe Acrobat/Reader」がわずか3日で再更新 - 深刻な脆弱性を修正
「Adobe Acrobat/Reader」にゼロデイ脆弱性 - 悪用を確認、緊急更新を
米当局、「SharePoint Server」「Excel」の脆弱性悪用に注意喚起