Cụ thể, lỗ hổng nghiêm trọng định danh CVE-2023-22501 có điểm CVSS là 9.4 tồn tại do xác thực không đúng cách. Bằng cách gửi một yêu cầu tự tạo, kẻ tấn công có thể khai thác lỗ hổng để mạo danh người dùng khác, đồng thời chiếm quyền truy cập vào đối tượng Quản lý dịch vụ Jira.
Atlassian cho biết: “Lỗ hổng cho phép kẻ tấn công mạo danh người dùng khác và giành quyền truy cập vào đối tượng Quản lý dịch vụ Jira trong một số trường hợp nhất định. Nếu có quyền ghi vào Thư mục người dùng (User Directory) và email gửi đi được bật trên đối tượng Quản lý dịch vụ Jira đó, kẻ tấn công có thể lấy được quyền truy cập vào token đăng ký được gửi cho người dùng có tài khoản chưa bao giờ đăng nhập”.
Lỗ hổng này ảnh hưởng đến Jira Service Management Server và Data Center các phiên bản 5.3.0, 5.3.1, 5.3.2, 5.4.0, 5.4.1 và 5.5.0. Trong đó, các phiên bản từ 5.3. 3, 5.4.2, 5.5.1, 5.6.0 trở lên đã có bản vá. Ngoài ra, người dùng có thể nâng cấp thủ công tệp JAR servicedesk-variable-substitution-plugin như một giải pháp tạm thời.
Mặc dù Atlassian cho hay lỗ hổng chưa bị khai thác trên thực tế nhưng người dùng vẫn nên kiểm tra phiên bản của mình để phát hiện truy cập trái phép.
M.H
16:00 | 30/11/2022
08:00 | 20/02/2023
09:00 | 28/02/2023
10:00 | 23/02/2023
08:00 | 28/04/2022
13:00 | 23/03/2023
07:00 | 20/04/2023
13:00 | 23/03/2023
15:00 | 06/07/2021
14:00 | 28/02/2025
Dù chỉ mới được phát hành cho các nhà phát triển, Apple đã bất ngờ thu hồi các bản cập nhật thử nghiệm iOS 18.4 beta trên một số mẫu iPhone, iPadOS 18.4 beta trên iPad và watchOS 11.4 beta trên Apple Watch Series 6.
10:00 | 13/02/2025
Các chuyên gia của Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA), trực thuộc Bộ An ninh Nội địa Hoa Kỳ, vừa phát hiện trên loại màn hình Contec CMS8000, được sử dụng để hiển thị tình trạng sức khỏe của bệnh nhân trong các bệnh viện tại Mỹ, có cài đặt sẵn cửa hậu bí mật.
16:00 | 22/01/2025
Công ty Cổ phần One Mount Group - Thành viên của Hiệp hội Blockchain Việt Nam cam kết đầu tư 200 - 500 triệu USD để làm chủ công nghệ chuỗi khối nền tảng và triển khai mạng Blockchain Layer 1, nhằm xây dựng hạ tầng chuỗi khối quốc gia, bao gồm mạng Blockchain quốc gia Make in Vietnam.
15:00 | 02/01/2025
Fortinet vừa đưa ra cảnh báo về lỗ hổng nghiêm trọng ảnh hưởng đến các sản phẩm của hãng bao gồm FortiClient VPN, FortiManager và FortiWLM. Những lỗ hổng này có thể dẫn đến rò rỉ mật khẩu, thực thi mã từ xa và truy cập tệp trái phép khiến hàng triệu người dùng gặp rủi ro.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Theo thông tin mới được công bố, hạng mục xe ô tô tự hành (Automotive) của cuộc thi Pwn2Own Berlin thu hút sự quan tâm đặc biệt của giới bảo mật, bởi các mục tiêu và giải thưởng được niêm yết.
10:00 | 05/03/2025
