Jira Data Center
Уязвимости
107
Эксплуатируемые
1
Макс. CVSS
10
Макс. EPSS
0.99999
Распределение по критичности
Критический
10
Высокий
31
Средний
64
Низкий
2
Затронутые диапазоны версий
6.3.0–8.5.167.0.0–8.5.47.0.10–7.6.167.13.0–8.5.57.13.0–8.6.07.6.15–8.5.47.6.4–8.1.07.7.0–7.13.98.0.0–8.1.08.0.0–8.13.228.0.0–8.4.28.0.0–8.5.48.0.0–8.5.58.0.0–8.5.78.0.0–8.5.88.13.0–8.13.228.14.0–8.15.08.14.0–8.15.18.14.0–8.18.08.14.0–8.20.28.14.0–8.20.38.2.1–8.7.08.2.4–8.6.08.4.1–8.5.3
Также сопоставлено как (исходные строки): crowd,jira data center,jira,jira_server,jira_software_data_center,data_center,fisheye,crucible,bitbucket,jira_data_center,confluence_data_center,confluence_server
Топ уязвимостей
BDU:2024-00325Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center существует из-за непринятия мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём внедрения специально сформированного шаблона
BDU:2023-06364Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии
CVE-2022-26136Уязвимость в нескольких продуктах Atlassian позволяет удаленному не прошедшему проверку подлинности злоумышленнику обходить фильтры сервлетов, используемые собственными и сторонними приложениями. Воздействие зависит от того, какие фильтры используются каждым приложением и как эти фильтры используются. Эта уязвимость может привести к обходу аутентификации и межсайтовому скриптингу. Atlassian выпустила обновления, устраняющие основную причину этой уязвимости, но не перечислила исчерпывающим образом все потенциальные последствия этой уязвимости. Версии Atlassian Bamboo затронуты до 8.0.9, с 8.1.0 до 8.1.8 и с 8.2.0 до 8.2.4. Версии Atlassian Bitbucket затронуты до 7.6.16, с 7.7.0 до 7.17.8, с 7.18.0 до 7.19.5, с 7.20.0 до 7.20.2, с 7.21.0 до 7.21.2 и версии 8.0.0 и 8.1.0. Версии Atlassian Confluence затронуты до 7.4.17, с 7.5.0 до 7.13.7, с 7.14.0 до 7.14.3, с 7.15.0 до 7.15.2, с 7.16.0 до 7.16.4, с 7.17.0 до 7.17.4 и версия 7.21.0. Версии Atlassian Crowd затронуты до 4.3.8, с 4.4.0 до 4.4.2 и версия 5.0.0. Версии Atlassian Fisheye и Crucible до 4.8.10 затронуты. Версии Atlassian Jira затронуты до 8.13.22, с 8.14.0 до 8.20.10 и с 8.21.0 до 8.22.4. Версии Atlassian Jira Service Management затронуты до 4.13.22, с 4.14.0 до 4.20.10 и с 4.21.0 до 4.22.4.
CVE-2022-0540Уязвимость в Jira Seraph позволяет удаленному неаутентифицированному злоумышленнику обойти аутентификацию, отправив специально созданный HTTP-запрос. Это затрагивает Atlassian Jira Server и Data Center версии до 8.13.18, версии 8.14.0 и более поздние до 8.20.6 и версии 8.21.0 и более поздние до 8.22.0. Это также затрагивает Atlassian Jira Service Management Server и Data Center версии до 4.13.18, версии 4.14.0 и более поздние до 4.20.6 и версии 4.21.0 и более поздние до 4.22.0.
CVE-2020-36239Jira Data Center, Jira Core Data Center, Jira Software Data Center с версии 6.3.0 до 8.5.16, с 8.6.0 до 8.13.8, с 8.14.0 до 8.17.0 и Jira Service Management Data Center с версии 2.0.2 до 4.5.16, с версии 4.6.0 до 4.13.8 и с версии 4.14.0 до 4.17.0 предоставили сетевую службу Ehcache RMI, с помощью которой злоумышленники, которые могут подключаться к службе, в порту 40001 и, возможно, 40011[0][1], могли выполнять произвольный код по своему выбору в Jira через десериализацию из-за отсутствующей уязвимости аутентификации. Хотя Atlassian настоятельно рекомендует ограничивать доступ к портам Ehcache только экземплярами Data Center, в исправленных версиях Jira теперь потребуется общий секрет, чтобы разрешить доступ к службе Ehcache. [0] В Jira Data Center, Jira Core Data Center и Jira Software Data Center версий до 7.13.1 объектный порт Ehcache может быть случайно выделен. [1] В Jira Service Management Data Center версий до 3.16.1 объектный порт Ehcache может быть случайно выделен.
BDU:2022-03284Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2021-05399Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center связана с некорректной обработкой выражений Object Graph Navigation Language (OGNL). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2021-04333Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center связана с недостатками процедуры нейтрализации особых элементов в выходных данных, используемых входящим компонентом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально сформированного OGNL выражения
BDU:2023-07453Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии
BDU:2023-08564Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center связана с непринятием мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить атаку типа «Server-Side Template Injection»
CVE-2024-21683Эта уязвимость RCE (удаленное выполнение кода) высокой степени серьезности была введена в версии 5.2 Confluence Data Center и Server.
Эта уязвимость RCE (удаленное выполнение кода) с оценкой CVSS 7.2 позволяет аутентифицированному злоумышленнику выполнять произвольный код, что имеет высокий импакт на конфиденциальность, высокий импакт на целостность, высокий импакт на доступность и не требует взаимодействия пользователя.
Atlassian рекомендует клиентам Confluence Data Center и Server обновиться до последней версии. Если вы не можете этого сделать, обновите вашу инстанцию до одной из указанных поддерживаемых исправленных версий. См. примечания к выпуску https://confluence.atlassian.com/doc/confluence-release-notes-327.html
Вы можете скачать последнюю версию Confluence Data Center и Server из центра загрузок https://www.atlassian.com/software/confluence/download-archives.
Эта уязвимость была обнаружена внутри.
CVE-2022-26137Уязвимость в нескольких продуктах Atlassian позволяет удаленному не прошедшему проверку подлинности злоумышленнику вызывать дополнительные фильтры сервлетов при обработке приложением запросов или ответов. Atlassian подтвердила и исправила единственную известную проблему безопасности, связанную с этой уязвимостью: обход Cross-origin resource sharing (CORS). Отправка специально созданного HTTP-запроса может вызвать фильтр сервлетов, используемый для ответа на запросы CORS, что приведет к обходу CORS. Злоумышленник, который может обманом заставить пользователя запросить вредоносный URL-адрес, может получить доступ к уязвимому приложению с разрешениями жертвы. Версии Atlassian Bamboo затронуты до 8.0.9, с 8.1.0 до 8.1.8 и с 8.2.0 до 8.2.4. Версии Atlassian Bitbucket затронуты до 7.6.16, с 7.7.0 до 7.17.8, с 7.18.0 до 7.19.5, с 7.20.0 до 7.20.2, с 7.21.0 до 7.21.2 и версии 8.0.0 и 8.1.0. Версии Atlassian Confluence затронуты до 7.4.17, с 7.5.0 до 7.13.7, с 7.14.0 до 7.14.3, с 7.15.0 до 7.15.2, с 7.16.0 до 7.16.4, с 7.17.0 до 7.17.4 и версия 7.21.0. Версии Atlassian Crowd затронуты до 4.3.8, с 4.4.0 до 4.4.2 и версия 5.0.0. Версии Atlassian Fisheye и Crucible до 4.8.10 затронуты. Версии Atlassian Jira затронуты до 8.13.22, с 8.14.0 до 8.20.10 и с 8.21.0 до 8.22.4. Версии Atlassian Jira Service Management затронуты до 4.13.22, с 4.14.0 до 4.20.10 и с 4.21.0 до 4.22.4.
BDU:2024-04006Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
BDU:2024-02983Уязвимость дата центра Confluence Data Center существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать влияние на конфиденциальность, целостность и доступность защищаемой информации путём изменения системных вызовов
BDU:2021-04000Уязвимость сетевого сервиса Ehcache RMI программных продуктов для обработки данных Jira Data Center, Jira Core Data Center, Jira Software Data Center связана с десериализацией данных при проведении процесса аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
CVE-2025-22167Уязвимость Path Traversal (произвольная запись) высокой степени серьезности была введена в Jira Software Data Center и Server версиями 9.12.0, 10.3.0 и сохраняется в 11.0.0. Эта уязвимость позволяет злоумышленнику изменять любой путь в файловой системе, доступный процессу JVM Jira, с CVSS-оценкой 8.7. Atlassian рекомендует клиентам Jira Software Data Center и Server обновить продукт до последней версии; если обновление невозможно, следует перейти к одной из указанных поддерживаемых исправленных версий: Jira Software Data Center и Server 9.12: Обновите до версии не ниже 9.12.28 Jira Software Data Center и Server 10.3: Обновите до версии не ниже 10.3.12 Jira Software Data Center и Server 11.0: Обновите до версии не ниже 11.1.0. См. заметки о выпуске. Вы можете загрузить последнюю версию Jira Software Data Center и Server из центра загрузки. Эта уязвимость была сообщена через внутреннюю программу Atlassian.
BDU:2024-00702Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию
BDU:2022-04612Уязвимость приложения Questions for Confluence веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center связана с возможностью использования жестко закодированных учетных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить полный доступ к программному обеспечению с правами группы confluence-users
BDU:2024-01509Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2023-04292Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2025-06344Уязвимость функций «Print» и «Export Word» программного продукта обработки данных Atlassian Jira Service Management Data Center and Server связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии
BDU:2024-02176Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center связана с возможностью обхода пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать влияние на конфиденциальность, целостность и доступность защищаемой информации
BDU:2024-00704Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2024-00703Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2023-04290Уязвимость веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код