漏洞描述
Atlassian JIRA是Atlassian公司出品的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。 2021年7月21日Atlassian官方发布公告,披露了CVE-2020-36239 Jira Data Center等远程代码执行漏洞。Jira Data Center、Jira Service Management Data Center等产品在40001等默认端口开放了Ehcache RMI服务,攻击者可在无需认证的情况下构造恶意请求,利用该RMI端口触发反序列化漏洞,造成远程代码执行。漏洞仅影响Jira Data Center系列与Jira Service Management Data Center系列,非 Data Center产品不受漏洞影响。长亭应急响应中心提醒 Atlassian JIRA 用户尽快采取安全措施阻止漏洞攻击。