尽快更新!Atlassian警告Jira软件中存在严重身份验证绕过漏洞

中科天齐软件源代码安全检测中心

共 1227字,需浏览 3分钟

 ·

2022-04-24 15:15

Atlassian发布安全公告,警告其Jira软件中存在一个严重漏洞,该漏洞可能被未经身份验证的远程攻击者滥用以规避身份验证保护。

该漏洞被跟踪为CVE-2022-0540,在CVSS评分系统中被评为9.9 分(满分10分),并且位于Jira的身份验证框架Jira Seraph中。

“远程、未经身份验证的攻击者可以通过发送特制的 HTTP 请求来利用这一点,以使用受影响的配置绕过 WebWork 操作中的身份验证和授权要求,”Atlassian指出。

受影响的产品包括Jira核心服务器、软件数据中心、软件服务器、服务管理服务器和管理数据中心。受影响的具体版本如下:

8.13.18之前的Jira Core服务器、软件服务器和软件数据中心、8.14.x、8.15.x、8.16.x、8.17.x、8.18.x、8.19.x、8.20.x 之前的 8.20.6 和8.21.x。

4.13.18 之前的Jira Service Management Server和管理数据中心、4.14.x、4.15.x、4.16.x、4.17.x、4.18.x、4.19.x、4.20.x 之前的4.20.6、4.21.x。

该漏洞不会影响 Jira 和 Jira Service Management 的云版本。

Atlassian还指出,只有当第一方和第三方应用程序安装在上述 Jira 或 Jira Service Management 版本中并且它们使用易受攻击的配置时,该漏洞才会影响它们。

易受攻击的应用

利用CVE-2022-0540的严重程度也取决于所使用的应用程序以及它们是否在Seraph 配置中使用额外的权限检查。

受该漏洞影响的两个捆绑应用是 Jira 的“Insight – Asset Management”和“Mobile Plugin”。有关受影响应用程序的完整列表,请查看Atlassian公告的中间部分。

第三方应用程序,例如 Atlassian Marketplace 之外的应用程序或客户内部开发的应用程序,如果依赖于易受攻击的配置,也会受到影响。

如果在Jira中没有使用受影响的应用程序,则漏洞的严重性降至中等。

修复和解决方法

安全更新的版本是 Jira Core Server、Software Server 和 Software Data Center 8.13.x >= 8.13.18、8.20.x >= 8.20.6,以及 8.22.0 及更高版本的所有版本。

至于Jira Service Management,固定版本为4.13.x >= 4.13.18、4.20.x >= 4.20.6和4.22.0 及更高版本。

强烈建议用户更新到修补版本之一,以减少潜在的利用尝试。如果无法立即修补,该公司建议将受影响的应用程序更新到固定版本或完全禁用它们。


文章来源:综合整理

浏览 7
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报