page contents

尽快更新!Atlassian警告Jira软件中存在严重身份验证绕过漏洞

Atlassian发布安全公告,警告其Jira软件中存在一个严重漏洞,该漏洞可能被未经身份验证的远程攻击者滥用以规避身份验证保护。

attachments-2022-04-DyvAUhjb6265f5791e870.png

Atlassian发布安全公告,警告其Jira软件中存在一个严重漏洞,该漏洞可能被未经身份验证的远程攻击者滥用以规避身份验证保护。

该漏洞被跟踪为CVE-2022-0540,在CVSS评分系统中被评为9.9 分(满分10分),并且位于Jira的身份验证框架Jira Seraph中。

“远程、未经身份验证的攻击者可以通过发送特制的 HTTP 请求来利用这一点,以使用受影响的配置绕过 WebWork 操作中的身份验证和授权要求,”Atlassian指出。

受影响的产品包括Jira核心服务器、软件数据中心、软件服务器、服务管理服务器和管理数据中心。受影响的具体版本如下:

8.13.18之前的Jira Core服务器、软件服务器和软件数据中心、8.14.x、8.15.x、8.16.x、8.17.x、8.18.x、8.19.x、8.20.x 之前的 8.20.6 和8.21.x。

4.13.18 之前的Jira Service Management Server和管理数据中心、4.14.x、4.15.x、4.16.x、4.17.x、4.18.x、4.19.x、4.20.x 之前的4.20.6、4.21.x。

该漏洞不会影响 Jira 和 Jira Service Management 的云版本。

Atlassian还指出,只有当第一方和第三方应用程序安装在上述 Jira 或 Jira Service Management 版本中并且它们使用易受攻击的配置时,该漏洞才会影响它们。

易受攻击的应用

利用CVE-2022-0540的严重程度也取决于所使用的应用程序以及它们是否在Seraph 配置中使用额外的权限检查。

受该漏洞影响的两个捆绑应用是 Jira 的“Insight – Asset Management”和“Mobile Plugin”。有关受影响应用程序的完整列表,请查看Atlassian公告的中间部分。

第三方应用程序,例如 Atlassian Marketplace 之外的应用程序或客户内部开发的应用程序,如果依赖于易受攻击的配置,也会受到影响。

如果在Jira中没有使用受影响的应用程序,则漏洞的严重性降至中等。

修复和解决方法

安全更新的版本是 Jira Core Server、Software Server 和 Software Data Center 8.13.x >= 8.13.18、8.20.x >= 8.20.6,以及 8.22.0 及更高版本的所有版本。

至于Jira Service Management,固定版本为4.13.x >= 4.13.18、4.20.x >= 4.20.6和4.22.0 及更高版本。

强烈建议用户更新到修补版本之一,以减少潜在的利用尝试。如果无法立即修补,该公司建议将受影响的应用程序更新到固定版本或完全禁用它们。

更多相关技术内容咨询欢迎前往并持续关注六星社区了解详情。

想高效系统的学习Python编程语言,推荐大家关注一个微信公众号:Python编程学习圈。每天分享行业资讯、技术干货供大家阅读,关注即可免费领取整套Python入门到进阶的学习资料以及教程,感兴趣的小伙伴赶紧行动起来吧。

attachments-2022-06-trfjwawI629da73a7f917.jpeg

  • 发表于 2022-04-25 09:12
  • 阅读 ( 413 )
  • 分类:行业资讯

你可能感兴趣的文章

相关问题

0 条评论

请先 登录 后评论
轩辕小不懂
轩辕小不懂

2403 篇文章

作家榜 »

  1. 轩辕小不懂 2403 文章
  2. 小柒 1476 文章
  3. Pack 1135 文章
  4. Nen 576 文章
  5. 王昭君 209 文章
  6. 文双 71 文章
  7. 小威 64 文章
  8. Cara 36 文章