欢迎user
漏洞综述
漏洞背景
Atlassian Jira是澳大利亚Atlassian公司的一套缺陷跟踪管理系统,该系统主要用于对工作中各类问题、缺陷进行跟踪管理。Atlassian Jira还可以集成phabricator、sonar、jekins等开源工具,在Atlassian Jir上可以对代码进行CR和提BUG等管理。近日,新华三攻防实验室威胁预警团队监测到Atlassian官方发布了安全公告,修复了Atlassian Jira中的一个身份验证绕过漏洞(CVE-2022-0540)。成功利用该漏洞,可绕过身份验证获取目标主机权限。
漏洞原理
该漏洞是由于 Web 身份验证框架 Jira Seraph中缺少控制访问机制的问题,未经身份验证的恶意攻击者通过远程发送恶意构造的HTTP请求,从而绕过身份验证和授权获取目标主机权限。
影响范围
Atlassian Jira < 8.13.18
Atlassian Jira 8.14.x、8.15.x、8.16.x、8.17.x、8.18.x、8.19.x
Atlassian Jira 8.20.x < 8.20.6
Atlassian Jira 8.21.x
Atlassian Jira Service Management < 4.13.18
Atlassian Jira Service Management 4.14.x、4.15.x、4.16.x、4.17.x、4.18.x、4.19.x
Atlassian Jira Service Management 4.20.x < 4.20.6
Atlassian Jira Service Management 4.21.x
漏洞等级:高危 CVSS:8.5
处置方法
官方补丁
目前官方已发布更新补丁,请受影响用户及时安装更新补丁,官方链接:
https://www.atlassian.com/software/bitbucket/download-archives
Atlassian Jira:
https://www.atlassian.com/software/jira/update
Atlassian Jira Service Management:
https://www.atlassian.com/software/jira/service-management/update
参考链接
https://www.atlassian.com/software/jira/update
https://confluence.atlassian.com/jira/jira-security-advisory-2022-04-20-1115127899.html