收藏 [登录/注册] 欢迎
榕基门户网及子站
联系我们
  • 福建榕基软件股份有限公司
  • 电话:0591-87860988
  • 传真:0591-87869595
  • 地址:福建省福州市鼓楼区
  •    软件大道89号
  •    A区15座
  • 邮编:350003
您的当前位置:首页 > 技术支持 > 漏洞公告

Atlassian JIRA Server 和 JIRA Data Center 模板注入漏洞


漏洞编号:CVE-2019-11581

风险等级:高危

CVSS分值:9.3

受影响版本:

 4.4.x <7.6.14,7.7.x <7.13.5,8.0.x <8.0.3,8.1.x <8.1 .2 或 8.2.x <8.2.3                


漏洞描述:

 根据获取的版本信息,托管在远程Web服务器上的Atlassian JIRA版本为4.4.x <7.6.14,7.7.x <7.13.5,8.0.x <8.0.3,8.1.x <8.1 .2 或 8.2.x <8.2.3。 因此,它受到 ContactAdministrators 和 SendBulkMail 操作中存在的服务器端模板注入漏洞的影响。其中SMTP服务器已配置且启用了联系人管理员表单。 未经身份验证的远程攻击者可能会利用此漏洞绕过身份验证并执行任意代码。


修复建议:

1、最终解决方法:

 - 升级 Atlassian JIRA 的版本为 7.6.14, 7.13.5, 8.0.3, 8.1.2, 8.2.3 或更新。