Ошибка в Jira раскрывает секретные ключи серверов крупных компаний

Уязвимости подвержены продукты Jira и Confluence от Atlassian

Как получить ключи?

Jira содержит уязвимый прокси, использующийся для межсайтового скриптинга (XSS). Межсайтовый скриптинг-это тип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода. Далее, Jira также содержит Server Side Request Forgery, известная как SSRF (возможность передавать url, по которому впоследствии перейдет уязвимый сервер), позволяющая хакеру совершать запросы с уязвимого сервера во внутреннюю сеть. Злоумышленник, благодаря такому багу, может получить конфиденциальные данные из внутренней сети. SSRF атака отфильтровывает метаданные Amazon Web Services, где и находятся секретные ключи.

На данный момент, более десятка крупных компаний используют старые версии уязвимых продуктов, поэтому рекомендуется обновить проблемное ПО.