شناسایی آسیب‌پذیری در نرم‌افزار Jira

به گزارش کارگروه امنیت سایبربان؛ کارشناسان شرکت پازتیو تکنالجیز به‌تازگی در بخش‌هایی از ابزار محبوب ردگیری باگ‌ها، مدیریت پروژه و تعامل با کاربر جیرا (Jira) یک آسیب‌پذیری با درجه حساسیت متوسط شناسایی کردند. 

این آسیب‌پذیری که با شناسه «CVE-2020-14181» و امتیاز 5,3 شناخته می‌شود امکان دسترسی به اطلاعات محرمانه کاربران سیستم را فراهم می‌سازد. 

میخائیل کلیوچنیکوف، کارشناس پازتیو تکنالجیز در خصوص این آسیب‌پذیری گفت:

این آسیب‌پذیری‌ها در وقت مهاجم بسیار صرفه‌جویی می‌کنند: آن‌ها این امکان را می‌دهند وجود حساب کاربری با هر لاگینی را در سیستم مشخص کرد. با دسته‌بندی انواع لاگین‌ها مشخص می‌شود چه کاربرانی در سیستم حضور دارند. اگر لاگینی نباشد سیستم در این مورد اطلاع می‌دهد، اگر باشد اطلاعات شخصی نیز ارائه می‌دهد. پس از گلچین لاگین‌های موجود، مهاجم می‌تواند برای هر کاربر موجود پسورد انتخاب کند. در صورت نبود این آسیب‌پذیری، مهاجم مجبور می‌شود با بروت فورس پسورد لاگین‌هایی را که ممکن است در سیستم موجود نباشند، حدس بزند. این آسیب‌پذیری زحمت هکر را کم کرده و احتمال شناسایی حمله را کاهش می‌دهد که درنهایت باعث جذابیت بیشتر هدف برای هکر می‌شود. به همین دلیل به‌روزرسانی را توصیه می‌کنیم. 

این آسیب‌پذیری بخش‌های Jira Server و Data Center را تحت تأثیر قرار داده و توسعه‌دهندگان با به‌روزرسانی‌های لازم این نقص امنیتی را در نسخه‌های 7.13.6، 8.5.7 و نسخه 8.12.0 برطرف کرده‌اند.