【漏洞通告】Atlassian Jira 服务端请求伪造漏洞CVE-2022-26135

admin 2022年7月8日09:13:13评论44 views字数 2158阅读7分11秒阅读模式
【漏洞通告】Atlassian Jira 服务端请求伪造漏洞CVE-2022-26135

漏洞名称:

Atlassian Jira 服务器端请求伪造漏洞

组件名称:

Atlassian Jira

影响范围:

8.0<Jira Core Server/Jira Software Server/Jira Software Data Center<8.13.22

8.14.0<Jira Core Server/Jira Software Server/Jira Software Data Center<8.20.10

8.21.0<Jira Core Server/Jira Software Server/Jira Software Data Center<8.22.4

4.0<Jira Service Management Server/Data Center <4.13.22

4.14.0<Jira Service Management Server/Data Center <4.20.10

4.21.0<Jira Service Management Server/Data Center <4.22.4

漏洞类型:

请求伪造

利用条件:

1、用户认证:需要用户认证
2、前置条件:
启用Mobile Plugin

3、触发方式:远程

综合评价:

<综合评定利用难度>:低,前置条件较宽松。

<综合评定威胁等级>:高危,能造成敏感信息泄露。



漏洞分析

【漏洞通告】Atlassian Jira 服务端请求伪造漏洞CVE-2022-26135

组件介绍

Atlassian Jira 是一个项目管理和开发工具,能够对工作中各类问题、缺陷进行跟踪管理。

【漏洞通告】Atlassian Jira 服务端请求伪造漏洞CVE-2022-26135

漏洞简介

近日,深信服安全团队监测到一则 Atlassian Jira 存在服务器端请求伪造漏洞的信息,漏洞编号:CVE-2022-26135,漏洞威胁等级:高危。


该漏洞是由于 Mobile Plugin for Jira 组件存在一个服务端请求伪造问题。经过身份验证的远程攻击者可通过 Jira Core REST API 伪造服务端发送特制请求,从而导致服务端敏感信息泄露。

影响范围

目前受影响的 Atlassian Jira 版本:

8.0<Jira Core Server/Jira Software Server/Jira Software Data Center<8.13.22

8.14.0<Jira Core Server/Jira Software Server/Jira Software Data Center<8.20.10

8.21.0<Jira Core Server/Jira Software Server/Jira Software Data Center<8.22.4

4.0<Jira Service Management Server/Data Center <4.13.22

4.14.0<Jira Service Management Server/Data Center <4.20.10

4.21.0<Jira Service Management Server/Data Center <4.22.4

解决方案

【漏洞通告】Atlassian Jira 服务端请求伪造漏洞CVE-2022-26135

1.如何检测组件系统版本

主页最下方可以直接查看版本信息。

【漏洞通告】Atlassian Jira 服务端请求伪造漏洞CVE-2022-26135
【漏洞通告】Atlassian Jira 服务端请求伪造漏洞CVE-2022-26135

2.官方修复建议

当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:

https://confluence.atlassian.com/jira/jira-server-security-advisory-29nd-june-2022-1142430667.html

【漏洞通告】Atlassian Jira 服务端请求伪造漏洞CVE-2022-26135

3.临时修复建议

(1) 关闭用户注册功能;


(2) 禁用 Mobile Plugin;


-在应用程序的顶部导航栏中,选择设置 -> 管理加载项或管理应用程序;

-找到 Mobile Plugin for Jira Data Center and Server 应用程序,然后选择禁用即可。 


(3) 升级 Mobile Plugin 至最新版本。

【漏洞通告】Atlassian Jira 服务端请求伪造漏洞CVE-2022-26135

4.深信服解决方案

4.1 主动检测

支持对 Atlassian Jira 服务器端请求伪造漏洞的主动检测,可批量快速检出业务场景中该事件的受影响资产情况,相关产品如下:
【深信服安全云眼CloudEye】预计2022年7月15日发布检测方案。

【深信服云镜YJ】预计2022年7月15日发布检测方案。

【深信服漏洞评估工具TSS】预计2022年7月15日发布检测方案。

【深信服安全托管服务MSS】预计2022年7月15日发布检测方案。


4.2 安全监测
支持对 Atlassian Jira 服务器端请求伪造漏洞的监测,可依据流量收集实时监控业务场景中的受影响资产情况,快速检查受影响范围,相关产品及服务如下:
【深信服安全感知管理平台SIP】预计2022年7月7日发布检测方案。

【深信服安全托管服务MSS】预计2022年7月7日发布检测方案。


4.3 安全防护
支持对 Atlassian Jira 服务器端请求伪造漏洞的防御,可阻断攻击者针对该事件的入侵行为,相关产品及服务如下:
【深信服下一代防火墙AF】预计2022年7月7日发布防护方案。

【深信服Web应用防火墙WAF】预计2022年7月7日发布防护方案。
【深信服安全托管服务MSS】预计2022年7月7日发布防护方案。


时间轴


2022/7/6

深信服监测到 Atlassian Jira 服务器端请求伪造漏洞信息。

2022/7/6 

深信服千里目安全技术中心发布漏洞通告。


点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。

【漏洞通告】Atlassian Jira 服务端请求伪造漏洞CVE-2022-26135
【漏洞通告】Atlassian Jira 服务端请求伪造漏洞CVE-2022-26135



原文始发于微信公众号(深信服千里目安全实验室):【漏洞通告】Atlassian Jira 服务端请求伪造漏洞CVE-2022-26135

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月8日09:13:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞通告】Atlassian Jira 服务端请求伪造漏洞CVE-2022-26135http://cn-sec.com/archives/1162699.html

发表评论

匿名网友 填写信息