Page tree
Skip to end of metadata
Go to start of metadata

English


Security advisory Jira Server & Data Center - Template Injection in Jira Importers Plugin - CVE-2019-15001 published by Atlassian on September 18, 2019

Atlassian issued a security alert that may affect you. It covers all older versions of Jira: 
→ Template Injection in Jira Importers Plugin - CVE-2019-15001 - September 18, 2019

What are the risks? 

This vulnerability allows a potential remote attacker to remotely execute code on systems that run a vulnerable version of Jira Server or Data Center. However, please note the attacker must have Jira Administrators privileges. As a result, we consider this vulnerability as minor, as this permission level should already be highly restricted.


How to protect your instance? 

This vulnerability has a workaround available and can be exploited only by Jira Administrators, our recommendation is then to apply the workaround and not necessarily to upgrade your Jira instance right away.


→ If your instance is hosted by Valiantys

We have conducted an impact analysis on all Jira instances managed by our teams. We have applied the workaround provided by Atlassian to mitigate the risk for all our hosted Jira instances, which consists in preventing PUT access to a specific REST endpoint (/rest/jira-importers-plugin/1.0/demo/create)

We thank you for your confidence in our Cloud offering and we would be happy to help you if you have any questions.


→ If your instance isn't hosted by Valiantys

We recommend that you install Atlassian's hotfix, available here.

If you need assistance to help you fix this issue, take advantage of your Valiantys Support contract and create a ticket on our dedicated portal. 

If you choose to upgrade your instance and need help, contact us.


Best regards,

The Valiantys Support Team

French


Faille de sécurité Jira Server & Jira Data Center - Template Injection in Jira Importers Plugin - CVE-2019-15001 publiée par Atlassian le 18 septembre 2019

Atlassian a publié une faille de sécurité concernant toutes les anciennes versions de Jira : 
→ Template Injection in Jira Importers Plugin - CVE-2019-15001 - September 18, 2019

Quels sont les risques ? 

Cette vulnérabilité permet à un attaquant potentiel d'exécuter du code depuis un serveur qui héberge une version vulnérable de Jira Server ou Data Center. Veuillez noter que l'attaquant doit posséder des droits d'administrateur Jira. Par conséquent, cette vulnérabilité est considérée comme mineure, les droits d'administrateurs étant particulièrement surveillés.

Comment protéger votre instance ? 

Cette vulnérabilité dispose d'un moyen de contournement disponible et ne peut être exploitée que par un administrateur Jira. Notre recommandation est de mettre en place le moyen de contournement, ce qui évite de devoir effectuer une montée de version immédiatement.


→ Si votre instance est hébergée par Valiantys

Nous avons effectué une analyse d'impact de toutes les instances Jira que nous hébergeons. Nous avons appliqué le moyen de contournement fourni par Atlassian qui permet de neutraliser cette vulnérabilité et qui consiste en la désactivation d'un REST Endpoint en mode PUT (/rest/jira-importers-plugin/1.0/demo/create)

Merci pour votre confiance en notre offre Cloud, et n'hésitez pas à nous contacter, nous serons ravis de répondre à vos questions.


→ Si votre instance n'est pas hébergée par Valiantys

Nous vous recommandons d'installer le patch mis à disposition par Atlassian et disponible ici.

Si vous avez besoin d'aide pour corriger cette faille, n'hésitez pas à créer un ticket de support sur notre portail dédié. 

Si vous souhaitez effectuer une montée de version et que avez besoin d'aide, contactez-nous.


Cordialement,

The Valiantys Support Team

  • No labels