Muhim zaiflik uchun PoC kodi Atlassian Crowd-da nashr etildi.
Zaiflik tajovuzkorga Crowd yoki Crowd Data Centerning zaif versiyalari bilan ishlaydigan tizimlarga zararli plaginlarni o‘rnatish imkonini beradi.
Xavfsizlik bo’yicha tadqiqotchi Korben Leo GitHub-da Atlassian Crowd-da masofaviy kodni bajarish zaifligi (CVE-2019-11580) uchun ekspluatatsiyani nashr etdi. Muammo versiya tuzilmalariga kiritilgan ishlab chiqish plaginini (pdkinstall) noto’g’ri faollashtirishdan kelib chiqadi. Ushbu zaiflikdan foydalangan holda, Crowd yoki Crowd Data Center misoliga vakolatli yoki ruxsatsiz so‘rovlarni yuborish imkoniyatiga ega bo‘lgan tajovuzkor Crowd yoki Crowd Data Centerning zaif versiyalari bilan ishlaydigan tizimlarda kod bajarilishini ta’minlovchi ixtiyoriy plaginlarni o‘rnatishi mumkin.
Lio pdkinstall-ni tahlil qildi va zararli plaginni masofadan o’rnatish usulini ishlab chiqdi. Usulning tavsifi bu erda mavjud.
Zaiflik Atlassian Crowd va Crowd Data Center versiyalarining 2.1.0–3.0.4, 3.1.0–3.1.5, 3.2.0–3.2.7, 3.3.0–3.3.4 va 3.4.0–3.4.3 versiyalariga taʼsir qiladi. Mutaxassislar foydalanuvchilarga dasturiy ta’minotning 3.0.5, 3.1.6, 3.2.8, 3.3.5 yoki 3.4.4 versiyalariga yangilashni qat’iy tavsiya qiladi. Agar biron sababga ko’ra yangilanish imkoni bo’lmasa, foydalanuvchilar Crowd-ni o’chirib qo’yishi, pdkinstall plaginini olib tashlashi va ilovani qayta ishga tushirishi mumkin.
Atlassian Crowd – bu foydalanuvchilarga SSO (Single Sign-On) protokoli yordamida bitta login bilan barcha Atlassian ilovalariga kirish imkonini beruvchi dasturiy ilova. Ilova avtomatik ravishda ilovalar bo’ylab foydalanuvchilarni ro’yxatdan o’tkazishni boshqaradi va ularni birinchi kirishda noyob tarzda aniqlaydi.
