Atlassian發(fā)布安全公告，警告其Jira軟件中存在一個嚴重漏洞，該漏洞可能被未經身份驗證的遠程攻擊者濫用以規(guī)避身份驗證保護。

該漏洞被跟蹤為CVE-2022-0540，在CVSS評分系統中被評為9.9 分(滿分10分)，并且位于Jira的身份驗證框架Jira Seraph中。

“遠程、未經身份驗證的攻擊者可以通過發(fā)送特制的 HTTP 請求來利用這一點，以使用受影響的配置繞過 WebWork 操作中的身份驗證和授權要求，”Atlassian指出。

受影響的產品包括Jira核心服務器、軟件數據中心、軟件服務器、服務管理服務器和管理數據中心。受影響的具體版本如下：

8.13.18之前的Jira Core服務器、軟件服務器和軟件數據中心、8.14.x、8.15.x、8.16.x、8.17.x、8.18.x、8.19.x、8.20.x 之前的 8.20.6 和8.21.x。

4.13.18 之前的Jira Service Management Server和管理數據中心、4.14.x、4.15.x、4.16.x、4.17.x、4.18.x、4.19.x、4.20.x 之前的4.20.6、4.21.x。

該漏洞不會影響 Jira 和 Jira Service Management 的云版本。

Atlassian還指出，只有當第一方和第三方應用程序安裝在上述 Jira 或 Jira Service Management 版本中并且它們使用易受攻擊的配置時，該漏洞才會影響它們。

易受攻擊的應用

利用CVE-2022-0540的嚴重程度也取決于所使用的應用程序以及它們是否在Seraph 配置中使用額外的權限檢查。

受該漏洞影響的兩個捆綁應用是 Jira 的“Insight – Asset Management”和“Mobile Plugin”。有關受影響應用程序的完整列表，請查看Atlassian公告的中間部分。

第三方應用程序，例如 Atlassian Marketplace 之外的應用程序或客戶內部開發(fā)的應用程序，如果依賴于易受攻擊的配置，也會受到影響。

如果在Jira中沒有使用受影響的應用程序，則漏洞的嚴重性降至中等。

修復和解決方法

安全更新的版本是 Jira Core Server、Software Server 和 Software Data Center 8.13.x >= 8.13.18、8.20.x >= 8.20.6，以及 8.22.0 及更高版本的所有版本。

至于Jira Service Management，固定版本為4.13.x >= 4.13.18、4.20.x >= 4.20.6和4.22.0 及更高版本。

強烈建議用戶更新到修補版本之一，以減少潛在的利用嘗試。如果無法立即修補，該公司建議將受影響的應用程序更新到固定版本或完全禁用它們。

文章來源：綜合整理