For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00459
Identificador(es)
ASA-2019-00459, CVE-2019-11580
Título
Plugin de desenvolvimento pdkinstall incorretamente habilitado
Fabricante(s)
Atlassian
Produto(s)
Atlassian Crowd
Atlassian Crowd Data Center
Versão(ões) afetada(s)
Atlassian Crowd versões 2.1, 2.2, 2.3.1, 2.4.1, 2.5.1, 2.6.1, 2.7.1, 2.8.1, 2.9.1, 2.10.1, 2.11.1,
2.12.0 e 3.0.0
Atlassian Crowd Data Center versões 2.1, 2.2, 2.3.1, 2.4.1, 2.5.1, 2.6.1, 2.7.1, 2.8.1, 2.9.1, 2.10.1, 2.11.1, 2.12.0 e 3.0.0
Versão(ões) corrigida(s)
Atlassian Crowd versões 3.0.5, 3.1.6, 3.2.8, 3.3.5 e 3.4.4
Atlassian Crowd Data Center versões 3.0.5, 3.1.6, 3.2.8, 3.3.5 e 3.4.4
Prova de conceito
Sim
Descrição
Atlassian Crowd and Crowd Data Center tinha o plug-in de desenvolvimento pdkinstall habilitado incorretamente nas versões de lançamento. Os atacantes que podem enviar solicitações não autenticadas ou autenticadas para uma instância do Crowd ou Crowd Data Center podem explorar essa vulnerabilidade para instalar plug-ins arbitrários, o que permite a execução remota de código em sistemas que executam uma versão vulnerável do Crowd ou Crowd Data Center.
Detalhes técnicos
Desconhecido
Créditos
Desconhecido
Referência(s)
Crowd Security Advisory 2019-05-22
https://confluence.atlassian.com/crowd/crowd-security-advisory-2019-05-22-970260700.html
Crowd – pdkinstall development plugin incorrectly enabled – CVE-2019-11580
https://jira.atlassian.com/browse/CWD-5388
Analysis of an Atlassian Crowd RCE – CVE-2019-11580
https://www.corben.io/atlassian-crowd-rce/
atlassian-shell
https://github.com/lc/research/tree/master/CVE-2019-11580/atlassian-shell
CVE-2019-11580
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11580
CVE-2019-11580
https://nvd.nist.gov/vuln/detail/CVE-2019-11580
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 23 julho 2019