Jira 身份驗(yàn)證繞過(guò)漏洞

 漏洞資訊     |      2022-04-21

一、  漏洞描述

2022年04月21日, Atlassian官方 發(fā)布了Jira和Jira Service Management的風(fēng)險(xiǎn)通告,漏洞編號(hào)為CVE-2022-0540,漏洞等級(jí):高危,漏洞評(píng)分:8.5。

JIRA是Atlassian公司出品的項(xiàng)目與事務(wù)跟蹤工具,被廣泛應(yīng)用于缺陷跟蹤、客戶服務(wù)、需求收集、流程審批、任務(wù)跟蹤、項(xiàng)目跟蹤和敏捷管理等工作領(lǐng)域。

二、  漏洞詳情

CVE-2022-0540 : Jira 身份驗(yàn)證繞過(guò)漏洞

CVE: CVE-2022-0540 

組件: Jira和Jira Service Management

漏洞類型: 代碼問(wèn)題

影響: 身份驗(yàn)證繞過(guò)

簡(jiǎn)述: Jira 和 Jira Service Management 容易受到其 Web 身份驗(yàn)證框架 Jira Seraph 中的身份驗(yàn)證繞過(guò)的攻擊。未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以通過(guò)發(fā)送特制的 HTTP 請(qǐng)求來(lái)利用此漏洞,以使用受影響的配置繞過(guò) WebWork 操作中的身份驗(yàn)證和授權(quán)要求。

三、  影響版本

受影響組件

影響產(chǎn)品或系統(tǒng)版本

安全版本

Jira

Jira所有版本 < 8.13.18

Jira 8.14.x、8.15.x、8.16.x、8.17.x、8.18.x、8.19.x

Jira 8.20.x < 8.20.6

Jira 8.21.x

8.13.x >= 8.13.18

8.20.x >=  8.20.6

Jira所有版本 >= 8.22.

Jira Service Management

-Jira Service Management所有版本 < 4.13.18

Jira Service Management 4.14.x、4.15.x、4.16.x、4.17.x、4.18.x、4.19.x

Jira Service Management 4.20.x < 4.20.6

Jira Service Management 4.21.x

4.13.x >= 4.13.18

4.20.x >= 4.20.6

Jira Service Management所有版本 >= 4.22.0

四、  安全版本

見(jiàn)三·影響版本

五、  安全建議

根據(jù)影響版本中的信息,排查并升級(jí)到安全版本。