# CVE-2019-11581 - Jira Server SSTI: RCE via ContactAdministrators > [!high] CVE-2019-11581 é uma Server-Side Template Injection crítica no Jira Server — permite RCE sem autenticação via formulário "Contact Administrators", comprometendo plataformas de gestão de projetos com acesso a código-fonte, bugs e informações proprietárias. ## Visão Geral CVE-2019-11581 é uma vulnerabilidade de **Server-Side Template Injection (SSTI)** no **Atlassian Jira Server e Data Center** que afeta o template de email da funcionalidade `ContactAdministrators`. Um atacante não autenticado pode injetar código Velocity malicioso no formulário de contato, que é processado pelo servidor e resulta em execução remota de código. O Jira é a plataforma de rastreamento de issues e gestão de projetos mais utilizada no mundo corporativo, especialmente em empresas de tecnologia. O comprometimento de um servidor Jira oferece acesso a informações extremamente sensíveis: código-fonte via integrações Git, relatórios de bugs (incluindo vulnerabilidades não divulgadas), dados de clientes em tickets de suporte e planejamento estratégico de produtos. A vulnerabilidade foi explorada ativamente por grupos APT poucos dias após a públicação do advisory. Instâncias Jira on-premises sem atualização são comuns em empresas de tecnologia brasileiras e fintechs. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | SSTI via Velocity template (email) | | Componente | ContactAdministrators form | | Condição | Funcionalidade "Contact Admins" habilitada (padrão) | | Autenticação | Não requerida | | Contexto | Usuário do serviço Jira | ## TTPs Relacionadas - [[t1190-exploit-public-facing-application|T1190]] - Exploração do Jira exposto - [[t1552-unsecured-credentials|T1552]] - Extração de credenciais armazenadas no Jira - [[t1213-data-from-information-repositories|T1213]] - Acesso a repositórios de informação - [[m1042-disable-or-remove-feature-or-program|M1042]] - Desabilitar ContactAdministrators ## Contexto LATAM > [!latam] Jira Server on-premises é amplamente usado por fintechs, startups e empresas de tecnologia brasileiras. Pesquisas de Shodan identificaram instâncias Jira desatualizadas em domínios `.com.br` com esta e outras CVEs críticas, incluindo em empresas do ecossistema de pagamentos e open banking. ## Detecção e Defesa **Mitigações recomendadas:** - Atualizar Jira para versões corrigidas (7.13.9+, 8.4.0+, 8.3.1+ etc.) - Desabilitar a funcionalidade ContactAdministrators como mitigação temporária - Restringir acesso externo ao Jira via VPN - Monitorar logs de acesso por requisições ao endpoint de ContactAdministrators ## Referências - [Atlassian Security Advisory JRASERVER-69793](https://jira.atlassian.com/browse/JRASERVER-69793) - [Atlassian CVE-2019-11581 Advisory](https://www.atlassian.com/software/jira/docs/latest/issues_and_resolutions.html) - [NVD CVE-2019-11581](https://nvd.nist.gov/vuln/detail/CVE-2019-11581)