この高重大度のXXE(XML外部エンティティインジェクション)脆弱性は、Crowd Data CenterおよびServerのバージョン7.1.0で導入されました。このXXE脆弱性はCVSSスコア7.9であり、認証済みの攻撃者がローカルおよびリモートのコンテンツにアクセスできるようにします。この脆弱性は、機密性に高い影響、完全性に低い影響、可用性に高い影響を与え、ユーザーの操作は不要です。Atlassianは、Crowd Data CenterおよびServerの利用者に最新バージョンへのアップグレードを推奨しています。もしアップグレードが不可能な場合は、指定されたサポート対象の修正版のいずれかにインスタンスをアップグレードすることを推奨します。* Crowd Data CenterおよびServer 7.1では、バージョン7.1.3以上のリリースにアップグレードしてください。リリースノート(https://confluence.atlassian.com/crowd/crowd-release-notes-199094.html)を参照してください。最新バージョンはダウンロードセンター(https://www.atlassian.com/software/crowd/download-archive)から入手可能です。この脆弱性はAtlassianの内部プログラムを通じて報告されました。
|