Atlassian JIRA Server 和 JIRA Data Center 模板注入漏洞
漏洞编号:CVE-2019-11581
风险等级:高危
CVSS分值:9.3
受影响版本:
4.4.x <7.6.14,7.7.x <7.13.5,8.0.x <8.0.3,8.1.x <8.1 .2 或 8.2.x <8.2.3
漏洞描述:
根据获取的版本信息,托管在远程Web服务器上的Atlassian JIRA版本为4.4.x <7.6.14,7.7.x <7.13.5,8.0.x <8.0.3,8.1.x <8.1 .2 或 8.2.x <8.2.3。 因此,它受到 ContactAdministrators 和 SendBulkMail 操作中存在的服务器端模板注入漏洞的影响。其中SMTP服务器已配置且启用了联系人管理员表单。 未经身份验证的远程攻击者可能会利用此漏洞绕过身份验证并执行任意代码。
修复建议:
1、最终解决方法:
- 升级 Atlassian JIRA 的版本为 7.6.14, 7.13.5, 8.0.3, 8.1.2, 8.2.3 或更新。