Jira是由Atlassian公司出品的一款项目与事务跟踪工具，被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。

近日，一个影响到Atlassian Jira多个版本的远程代码执行漏洞(CVE-2019-11581)被修复。成功利用此漏洞，攻击者可以在受影响的服务器上远程执行任意代码。

严重程度：高危

CVE编号：CVE-2019-11581

影响版本：

Atlassian Jira 4.4.x

Atlassian Jira 5.x.x

Atlassian Jira 6.x.x

Atlassian Jira 7.0.x

Atlassian Jira 7.1.x

Atlassian Jira 7.2.x

Atlassian Jira 7.3.x

Atlassian Jira 7.4.x

Atlassian Jira 7.5.x

Atlassian Jira 7.6.x < 7.6.14

Atlassian Jira 7.7.x

Atlassian Jira 7.8.x

Atlassian Jira 7.9.x

Atlassian Jira 7.10.x

Atlassian Jira 7.11.x

Atlassian Jira 7.12.x

Atlassian Jira 7.13.x < 7.13.5

Atlassian Jira 8.0.x < 8.0.3

Atlassian Jira 8.1.x < 8.1.2

Atlassian Jira 8.2.x < 8.2.3

此漏洞源于Atlassian Jira中的Jira Server和 Jira Data Center模块存在模板注入缺陷，使得攻击者能够在表单中插入恶意java代码。

当服务端对传入数据进行解析时，就会执行数据中插入的代码，并执行其中的命令。

此漏洞有两种利用方法：

一、前台-联系网站管理员（无需登录）

二、访问页面/secure/admin/SendBulkMail.jspa（需要管理员密码）

漏洞利用成功截图：

当“联系管理员表单”功能开启时，攻击者就可以在表单插入java恶意代码。当服务端对传入数据进行解析时，就会执行数据中插入的恶意代码，并执行其中的命令。

通过这种方式，攻击者可以实现对CVE-2019-11581漏洞的利用，窃取服务器的敏感信息，甚至可以利用此漏洞对服务器数据进行修改、添加、删除等操作，进而对服务器造成巨大损害。

1.升级Jira至最新版本 7.6.14、7.13.5、8.0.3、8.1.2、8.2.3(下载链接：https://www.atlassian.com/software/jira/download);

2. 若无法及时升级 Jira，则可采取以下缓解措施：

(1)禁用“联系网站管理员”功能。设置=>系统=>编辑设置=>联系管理员表单处选择“关”，然后点击最下面的“更新”保存设置;

(2)禁止对/secure/admin/SendBulkMail!default.jspa 的访问。