Jira Service Management Server远程代码执行
- CNNVD编号:未知
- 危害等级: 高危
- CVE编号:CVE-2021-39115
- 漏洞类型: 远程代码执行
- 威胁类型:远程
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2021-09-13
- 更新时间:2021-09-13
漏洞简介
1、组件介绍
Jira Service Management 是Atlassian旗下的一款面向ITSM(IT服务管理)的企业级解决方案。基于Jira平台构建,可以与Atlassian旗下的相关产品进行配合使用。通过该平台,IT团队可以轻松接收、跟踪、管理和解决来自团队客户的需求。客户可以通过电子邮件、可定制的帮助中心和可嵌入的小部件发送请求,团队可以借助该平台对客户的需求进行分类和优先级确定,从而更好的改进应对客户的需求并对产品进行改进。
2、漏洞描述
近日,深信服安全团队监测到一则Jira Service Management Server存在远程代码执行漏洞的信息,漏洞编号:CVE-2021-39115,漏洞威胁等级:高危。
该漏洞是由于Jira Service Management允许用户上传自定义的邮件模板,导致攻击者可利用该漏洞在未授权的情况下,构造恶意的邮件模板执行远程代码。
漏洞公示
暂无
受影响实体
Jira Service Management 基于Jira平台,由Java语言开发。可以运行在几乎所有计算机平台上。该应用软件主要用户分布在国外,主要包括美国、德国和英国。国内主要集中在北京、上海和江苏等地。
目前受影响的Jira Service Management版本:
Jira Service Management< 4.13.9
4.14.0 <= Jira Service Management < 4.18.0
补丁
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:https://www.atlassian.com/download