«Подобные уязвимости существенно экономят время атакующему: они дают возможность определить наличие учетной записи с тем или иным логином в системе, — рассказал Михаил Ключников. — Путем перебора различных логинов выясняется, какие пользователи присутствуют в системе. Если логина нет, система об этом сообщит, если есть — выдаст еще и персональные данные (если они в систему занесены). После перебора существующих логинов, атакующий мог перейти к подбору паролей к каждому существующему пользователю. В отсутствие этой уязвимости злоумышленнику приходится вслепую осуществлять брутфорс паролей к логинам, которых может и не быть в системе. Уязвимость уменьшает трудозатраты хакера и снижает вероятность обнаружения атаки, что в конечном счете делает мишень более привлекательной для хакера. И поэтому мы настоятельно рекомендуем обновиться».
Недостаток безопасности получил идентификатор CVE-2020-14181 и оценку 5,3, что соответствует среднему уровню опасности. Причина возникновения ошибки связана с возможностью обращаться к определенному сценарию любому неавторизованному пользователю. Уязвимость затронула Jira Server и Data Center. Компания опубликовала обновления, в которых данная ошибка исправлена. Уязвимость устранена в 7.13.6, 8.5.7 и 8.12.0 версиях продуктов.
Широкая распространенность продуктов компании Atlassian нередко привлекает злоумышленников. Так, в 2019 году эксперты Positive Technologies выявили попытки массовой эксплуатации критически опасной уязвимости в Confluence.
https://www.ptsecurity.com/ru-ru/about/news/ustranennaya-uyazvimost-v-jira-pozvolyala-poluchit-konfidencialnuyu-informaciyu-o-polzovatelyah/