Опубликован PoC-код для критической уязвимости в Atlassian Crowd

0

С помощью уязвимости злоумышленник может установить вредоносные плагины на системах с уязвимыми версиями Crowd или Crowd Data Center.

Специалист по безопасности Корбен Лио (Corben Leo) опубликовал на GitHub эксплоит для уязвимости (CVE-2019-11580) в решении Atlassian Crowd, позволяющей удаленно выполнить код.

Проблема связана с некорректной активацией плагина для разработки (pdkinstall), поставляемого в составе релизных сборок. С помощью данной уязвимости злоумышленник с возможностью отправки авторизованных или неавторизованных запросов к экземпляру Crowd или Crowd Data Center может установить произвольные плагины, позволяющие выполнить код на системах с уязвимыми версиями Crowd или Crowd Data Center.

Лио проанализировал pdkinstall и разработал метод, позволяющий удаленно установить вредоносный плагин. Описание метода доступно