JIRA ถือเป็นเครื่องมือ Management โปรเจคและ Process ต่างๆในองค์กรให้มีความเป็นระเบียบอีกทั้งยังสามารถเพิ่ม plugin เพื่อสามารถทำสิ่งต่างๆมากมาย ล่าสุดเมื่อวันที่ 09/03/2017 ที่ผ่านมามีการเปิดเผยว่าพบช่องโหว่ XXE (XML eXternal Entity) ใน JIRA Workflow Designer Plugin

จากเว็บผู้ผลิต ช่องโหว่ XXE ดังกล่าว ไม่จำเป็นต้องเข้าสู่ระบบแต่อย่างใด ผู้โจมตีสามารถที่จะโจมตีได้ทันที โดยช่องโหว่ดังกล่าวทำให้สามารถทำได้ทั้งในส่วน Remote Code Execution, การอ่านไฟล์ลับภายในเครื่อง จนถึงกระทั่งสามารถทำให้เกิด DoS ได้เลยทีเดียว โดยช่องโหว่ดังกล่าวกระทบกับ JIRA version <= 4.2.4 หากใครใช้ version นอกเหนือจากนั้นก็จะไม่ได้รับผลกระทบแต่อย่างใดครับ

ระบบที่ได้รับผลกระทบ: JIRA version <= 4.2.4
ผลกระทบ: XXE (High Severity)
วิธีการแก้ไข: Update ให้เป็น version > 4.2.4 และหากเป็นไปได้แนะนำให้ update เป็น version ล่าสุด

 Source:: Atlassian.com