PT-2021-3747 · Terracotta+1 · Ehcache+3
Harrison Neal
·
Publicado
2021-07-22
·
Atualizado
2024-10-17
·
CVE-2020-36239
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Jira Data Center, versões 6.3.0 a 8.5.16
Jira Data Center, versões 8.6.0 a 8.13.8
Jira Data Center, versões 8.14.0 a 8.17.0
Jira Core Data Center, versões 6.3.0 a 8.5.16
Versões do Jira Core Data Center de 8.6.0 a 8.13.8
Versões do Jira Core Data Center de 8.14.0 a 8.17.0
Versões do Jira Software Data Center de 6.3.0 a 8.5.16
Versões do Jira Software Data Center de 8.6.0 a 8.13.8
Versões do Jira Software Data Center de 8.14.0 a 8.17.0
Versões do Jira Service Management Data Center de 2.0.2 a 4.5.16
Versões do Jira Service Management Data Center de 4.6.0 a 4.13.8
Versões do Jira Service Management Data Center de 4.14.0 a 4.17.0
Descrição
O problema está relacionado a uma vulnerabilidade de autenticação ausente no serviço de rede Ehcache RMI, que pode permitir que invasores remotos executem código arbitrário no Jira por meio de deserialização. A vulnerabilidade pode ser explorada conectando-se ao serviço na porta 40001 e, potencialmente, na 40011. A Atlassian sugere restringir o acesso às portas do Ehcache apenas às instâncias do Data Center. As versões corrigidas do Jira exigirão um segredo compartilhado para permitir o acesso ao serviço Ehcache. Em algumas versões, a porta do objeto Ehcache pode ser alocada aleatoriamente.
Recomendações
Para as versões 6.3.0 a 8.5.16 do Jira Data Center, atualize para a versão 8.5.16 ou posterior.
Para as versões do Jira Data Center de 8.6.0 a 8.13.8, atualize para a versão 8.13.8 ou posterior.
Para o Jira Data Center
Correção
Missing Authentication
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Ehcache
Jira
Jira Core
Jira Service Management Server