Inicio / Content / Boletín de INCIBE-CERT del 21-10-2021

Boletín de INCIBE-CERT del 21-10-2021

Ejecución remota de código en múltiples productos de Atlassian

Fecha de publicación: 
21/10/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • Insight - Asset Management App, todas las versiones:
    • 5.x,
    • 6.x,
    • 7.x,
    • 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x, 8.5.x, 8.6.x, 8.7.x, 8.8.x, y
    • 8.9.x anteriores a la 8.9.3.
  • Jira Service Management Data Center and Server, todas las versiones:
    • 4.15.x (Insight v. 9.0.x incluida),
    • 4.16.x (Insight v. 9.0.x incluida),
    • 4.17.x (Insight v. 9.0.x incluida),
    • 4.18.x (Insight v. 9.0.x incluida) y
    • 4.19.x (Insight v. 9.1.0 incluida).
Descripción: 

El investigador, Khoadha, de Viettel Cyber Security, ha reportado a Atlassian una vulnerabilidad de severidad crítica que podría permitir a un atacante la ejecución remota de código.

Solución: 

Actualizar Insight - Asset Management Marketplace App a la versión 8.9.3 y Jira Service Management Data Center and Server a la versión 4.20.0 (Insight v.9.1.2 incluida) desde su centro de software.

Detalle: 

Una función nativa de la librería de la base de datos H2 DB podría permitir a un atacante la ejecución remota de código en el servidor si este está autenticado en Jira y cuenta con permisos de usuario o grupo, como Insight administrator u Object Schema Manager. Se ha asignado el identificador CVE-2018-10054 para esta vulnerabilidad.

Encuesta valoración