Foi descoberta uma nova vulnerabilidade que permite que um invasor obtenha informações confidenciais do usuário no Jira, que é um sistema popular para rastrear bugs, interagir com usuários e gestão de projetos.
Vulnerabilidade de divulgação de informações, rastreada como CVE-2020-14181, tem uma pontuação CVSS de 5,3 e foi descoberto pela primeira vez pelo especialista em tecnologias positivas Mikhail Klyuchnikov. A vulnerabilidade afeta o servidor Jira e o datacenter e ocorre porque qualquer usuário não autorizado pode acessar um script específico.
Jira Developer Atlassian é conhecida por fazer produtos populares usados por 170.000 clientes em mais de 190 países, e 83 por cento de seus clientes estão na Fortune Global 500.
Vulnerabilidade de Jira
O pesquisador sênior de segurança da Positive Technologies, Mikhail Klyuchnikov, forneceu mais informações sobre a vulnerabilidade que descobriu em um Comunicado de imprensa, dizendo:
“Essas vulnerabilidades ajudam os invasores a economizar tempo significativamente em suas tentativas de violar os sistemas: eles tornam possível determinar a presença de uma conta com um determinado login no sistema. Forçando vários logins, os invasores podem identificar quais usuários estão presentes no sistema Se houver login, o sistema revela os dados pessoais do usuário (nos casos em que tais dados estão presentes) e, se nenhum login for encontrado, o sistema informa.
“Depois de forçar os logins existentes de força bruta, os invasores podem prosseguir com as senhas de força bruta de cada usuário existente. Sem essa vulnerabilidade, os invasores teriam que forçar aleatoriamente senhas para logins que podem não existir no sistema. A vulnerabilidade reduz o tempo que os hackers levariam e a probabilidade de serem detectados, o que acaba tornando o alvo menos atraente para os invasores. É por isso que recomendamos a instalação das atualizações. “
Felizmente, Atlassian tem corrigiu a vulnerabilidade nas versões 7.13.6, 8.5.7 e 8.12.0 do produto e os clientes devem instalá-lo imediatamente para evitar serem vítimas de possíveis ataques que o explorem.
