به گزارش کارگروه امنیت سایبربان؛ کارشناسان شرکت پازتیو تکنالجیز بهتازگی در بخشهایی از ابزار محبوب ردگیری باگها، مدیریت پروژه و تعامل با کاربر جیرا (Jira) یک آسیبپذیری با درجه حساسیت متوسط شناسایی کردند.
این آسیبپذیری که با شناسه «CVE-2020-14181» و امتیاز 5,3 شناخته میشود امکان دسترسی به اطلاعات محرمانه کاربران سیستم را فراهم میسازد.
میخائیل کلیوچنیکوف، کارشناس پازتیو تکنالجیز در خصوص این آسیبپذیری گفت:
این آسیبپذیریها در وقت مهاجم بسیار صرفهجویی میکنند: آنها این امکان را میدهند وجود حساب کاربری با هر لاگینی را در سیستم مشخص کرد. با دستهبندی انواع لاگینها مشخص میشود چه کاربرانی در سیستم حضور دارند. اگر لاگینی نباشد سیستم در این مورد اطلاع میدهد، اگر باشد اطلاعات شخصی نیز ارائه میدهد. پس از گلچین لاگینهای موجود، مهاجم میتواند برای هر کاربر موجود پسورد انتخاب کند. در صورت نبود این آسیبپذیری، مهاجم مجبور میشود با بروت فورس پسورد لاگینهایی را که ممکن است در سیستم موجود نباشند، حدس بزند. این آسیبپذیری زحمت هکر را کم کرده و احتمال شناسایی حمله را کاهش میدهد که درنهایت باعث جذابیت بیشتر هدف برای هکر میشود. به همین دلیل بهروزرسانی را توصیه میکنیم.
این آسیبپذیری بخشهای Jira Server و Data Center را تحت تأثیر قرار داده و توسعهدهندگان با بهروزرسانیهای لازم این نقص امنیتی را در نسخههای 7.13.6، 8.5.7 و نسخه 8.12.0 برطرف کردهاند.
