漏洞名称 : Jira Service Management Server远程代码执行CVE-2021-39115
组件名称 : Jira Service Management Server
影响范围 :
Jira Service Management< 4.13.9
4.14.0 <= Jira Service Management < 4.18.0
漏洞类型: 远程代码执行
利用条件 :
1、用户认证:是
2、触发方式:远程
综合评价 :
<综合评定利用难度>:容易,无需授权即可远程代码执行。
<综合评定威胁等级>:高危,能造成远程代码执行。
漏洞分析
1 组件介绍
Jira Service Management 是Atlassian旗下的一款面向ITSM(IT服务管理)的企业级解决方案。基于Jira平台构建,可以与Atlassian旗下的相关产品进行配合使用。通过该平台,IT团队可以轻松接收、跟踪、管理和解决来自团队客户的需求。客户可以通过电子邮件、可定制的帮助中心和可嵌入的小部件发送请求,团队可以借助该平台对客户的需求进行分类和优先级确定,从而更好的改进应对客户的需求并对产品进行改进。
2 漏洞描述
近日,深信服安全团队监测到一则Jira Service Management Server存在远程代码执行漏洞的信息,漏洞编号:CVE-2021-39115,漏洞威胁等级:高危。
该漏洞是由于Jira Service Management允许用户上传自定义的邮件模板,导致攻击者可利用该漏洞在未授权的情况下,构造恶意的邮件模板执行远程代码。
影响范围
Jira Service Management 基于Jira平台,由Java语言开发。可以运行在几乎所有计算机平台上。该应用软件主要用户分布在国外,主要包括美国、德国和英国。国内主要集中在北京、上海和江苏等地。
目前受影响的Jira Service Management版本:
Jira Service Management< 4.13.9
4.14.0 <= Jira Service Management < 4.18.0
解决方案
1 如何检测组件系统版本
访问Jira Service Management 首页
点击右上角的关于Jira,并下滑弹出的窗口即可查看版本信息
2 官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://www.atlassian.com/download
时间轴
2021/9/10 深信服监测到Jira Service Management Server远程代码执行漏洞攻击信息。
2021/9/10 深信服千里目安全实验室发布漏洞通告。
参考链接
1、https://jira.atlassian.com/browse/JSDSERVER-8665
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
原文始发于微信公众号(深信服千里目安全实验室):【漏洞通告】Jira Service Management Server远程代码执行CVE-2021-39115
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论