Nivel de criticidad: ALTO
-
CVE-2019-11581. Se ha detectado una vulnerabilidad en Jira, software de seguimiento de proyectos e incidencias. El fallo reside en las acciones ContactAdministrators y SendBulkMail, las cuales son vulnerables a la inyección de código arbitrario de forma remota pudiendo permitir a un atacante escalar sus privilegios.
La vulnerabilidad ha recibido una puntuación de 9.3 según la escala CVSSv2 de la base de datos del NIST. Esto es debido a que el fallo es explotable de forma remota, con una complejidad media, no es requerida autenticación alguna y un ataque exitoso supondría un impacto completo. Hasta el momento no se han detectado exploits que permitan a los atacantes aprovechar esta vulnerabilidad ni actividad en la red relacionada.
Recursos afectados:
Según el aviso publicado por el fabricante, se ven afectadas todas las versiones de Jira Server y Data Center:
- Desde 4.4.0 hasta 7.6.14
- Desde 7.7.0 hasta 7.13.5
- Desde 8.0.0 hasta 8.0.3
- Desde 8.1.0 hasta 8.1.2
- Desde 8.2.0 hasta 8.2.3
Solución a la vulnerabilidad:
El fabricante ha solucionado la vulnerabilidad a través de las actualizaciones disponibles en los siguientes enlaces:
El CERT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
En caso de no poder aplicar las actualizaciones disponible para solucionar la vulnerabilidad, se recomienda:
- Deshabilitar el formulario Administradores de contactos y bloquear la función /secure/ContactAdministrators, y
- Bloquear el acceso a las siguientes funciones:
- /secure/admin/SendBulkMail!default.jspa
- /admin/SendBulkMail!default.jspa
- /SendBulkMail!default.jspa
Hay que tener en cuenta que bloquear la función SendBulkMail evitará que los administradores de Jira puedan enviar correos electrónicos masivos a los usuarios.
Asimismo, el bloqueo de funciones puede lograrse negando el acceso en el proxy inverso o al balanceo de carga de procesos.
Después de actualizar Jira, es posible habilitar nuevamente el Formulario de contacto del administrador y desbloquear la función SendBulkMail.
Referencias: