Jira Server and Data Center

Die Schwachstelle betrifft Jira Server and Data Center von Atlassian, eine weit verbreitete Software zur Projekt- und Vorgangsverwaltung. Es handelt sich um eine serverseitige Template-Injection: In den Funktionen zum Kontaktieren der Administratoren (ContactAdministrators) und zum Versenden von Massen-E-Mails (SendBulkMail) verarbeitet die Anwendung Eingaben so, dass ein Angreifer eigenen Code in die serverseitige Vorlagenverarbeitung einschleusen kann. Dadurch lässt sich aus der Ferne beliebiger Code auf dem Server ausführen, auf dem eine verwundbare Jira-Instanz läuft. Gelingt der Angriff, erlangt der Angreifer Kontrolle über das betroffene System und kann auf dort verarbeitete Projektdaten zugreifen oder die Instanz manipulieren. Betroffen ist ausschließlich die selbst betriebene Variante Jira Server and Data Center. Da diese Eingabemasken zu den regulären Anwendungsfunktionen gehören, ist der Angriffsweg überall dort offen, wo die verwundbare Software erreichbar ist.