Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2022-02565

CVSS: 10

20.04.2022

Уязвимость платформы веб-аутентификации Jira Seraph систем отслеживания ошибок и инцидентов Jira и Jira Service Managment, позволяющая нарушителю повысить свои привилегии

Уязвимость платформы веб-аутентификации Jira Seraph систем отслеживания ошибок и инцидентов Jira и Jira Service Managment связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии с помощью с помощью специально сформированных HTTP-запросов

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	20.04.2022
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Данные уточняются
Способ эксплуатации:	Нарушение аутентификации
Способ устранения:	Нет данных
Меры по устранению:	Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - отключение Insight - Asset Management. Использование рекомендаций производителя: https://confluence.atlassian.com/jira/jira-security-advisory-2022-04-20-1115127899.html https://jira.atlassian.com/browse/JRASERVER-73650 https://jira.atlassian.com/browse/JSDSERVER-11224

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-287	Некорректная аутентификация

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2022-0540	A vulnerability in Jira Seraph allows a remote, unauthenticated attacker to bypass authentication by sending a specially craf...

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
9.7	HIGH	2.0	AV:N/AC:L/Au:N/C:C/I:C/A:P
10	CRITICAL	3.0	AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:L

Идентификаторы других систем описаний уязвимостей

CVE-2022-0540

Вендор:	Atlassian
Тип ПО:	Прикладное ПО информационных систем
Наименование ПО:	Jira Jira Service Management
Версия ПО:	от 8.13.0 до 8.13.18 (Jira) от 8.20.0 до 8.20.6 (Jira) до 8.22.0 (Jira) от 4.13.0 до 4.13.18 (Jira Service Management) от 4.20.0 до 4.20.6 (Jira Service Management) до 4.22.0 (Jira Service Management)
Ссылки на источники:	https://vuldb.com/ru/?id.198287 https://confluence.atlassian.com/jira/jira-security-advisory-2022-04-20-1115127899.html https://jira.atlassian.com/browse/JRASERVER-73650 https://jira.atlassian.com/browse/JSDSERVER-11224

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2022-02565