【漏洞报送】Atlassian Jira存在服务器端请求伪造漏洞

admin

86993
文章

81
评论

2022年7月7日14:34:16评论55 views字数 2271阅读7分34秒阅读模式

0x01 Atlassian Jira

Atlassian Jira是澳大利亚Atlassian公司的一套缺陷跟踪管理系统。该系统主要用于对工作中各类问题、缺陷进行跟踪管理。

0x02 漏洞描述

近日，Atlassian 发布安全公告，修复了一个Atlassian Jira 多款产品Mobile Plugin中的服务端请求伪造漏洞(SSRF)。经过身份验证的远程攻击者可通过向Jira Core REST API发送特制请求，从而伪造服务端发起请求，从而导致敏感信息泄露，同时为下一步攻击利用提供条件。需注意的是，若服务端开启注册功能，则未授权用户可通过注册获取权限进而利用。

受影响版本：

8.0 <= Jira Core Server/Jira Software Server/Jira Software Data Center < 8.13.22
Jira Core Server/Jira Software Server/Jira Software Data Center 8.14.x
Jira Core Server/Jira Software Server/Jira Software Data Center 8.15.x
Jira Core Server/Jira Software Server/Jira Software Data Center 8.16.x
Jira Core Server/Jira Software Server/Jira Software Data Center 8.17.x
Jira Core Server/Jira Software Server/Jira Software Data Center 8.18.x
Jira Core Server/Jira Software Server/Jira Software Data Center 8.19.x
8.20 <= Jira Core Server/Jira Software Server/Jira Software Data Center < 8.20.10
Jira Core Server/Jira Software Server/Jira Software Data Center 8.21.x
8.22.0 <= Jira Core Server/Jira Software Server/Jira Software Data Center < 8.22.4
4.0 <= Jira Service Management Server/Data Center < 4.13.22
Jira Service Management Server/Data Center 4.14.x
Jira Service Management Server/Data Center 4.15.x
Jira Service Management Server/Data Center 4.16.x
Jira Service Management Server/Data Center 4.17.x
Jira Service Management Server/Data Center 4.18.x
Jira Service Management Server/Data Center 4.19.x
4.20.0 <= Jira Service Management Server/Data Center < 4.20.10
Jira Service Management Server/Data Center 4.21.x
4.22.0 <= Jira Service Management Server/Data Center < 4.22.4

安全版本：

Jira Core Server/Jira Software Server/Jira Software Data Center 8.13.x >= 8.13.22
Jira Core Server/Jira Software Server/Jira Software Data Center 8.20.x >= 8.20.10
Jira Core Server/Jira Software Server/Jira Software Data Center 8.22.x >= 8.22.4
Jira Core Server/Jira Software Server/Jira Software Data Center >= 9.0.0
Jira Service Management Server/Data Center4.13.x >= 4.13.22
Jira Service Management Server/Data Center4.20.x >= 4.20.10
Jira Service Management Server/Data Center4.22.x >= 4.22.4
Jira Service Management Server/Data Center >= 5.0.0

0x03 漏洞信息

漏洞编号：CVE-2022-26135

漏洞POC：暂无

漏洞EXP：暂无

漏洞危害：高危服务器端请求伪造

0x04 解决方案

临时修复建议：

关闭用户注册功能
禁用Mobile Plugin

在应用程序的顶部导航栏中，选择设置 -> 管理加载项或管理应用程序
找到Mobile Plugin for Jira Data Center and Server应用程序，然后选择禁用即可。

升级Mobile Plugin至最新版本

通用修复建议：

官方已发布安全版本，请及时下载更新，下载地址：

https://www.atlassian.com/software/jira/core/download
https://www.atlassian.com/software/jira/service-management/update

【漏洞报送】Atlassian Jira存在服务器端请求伪造漏洞

原文始发于微信公众号（寻云安全团队）：【漏洞报送】Atlassian Jira存在服务器端请求伪造漏洞

我的微信
微信扫一扫

我的微信公众号
微信扫一扫

【漏洞报送】Atlassian Jira存在服务器端请求伪造漏洞

[核弹级漏洞]Windows11全版本系统安全中心bug,导致RCE[附POC]

【漏洞复现】华为Auth-HTTP服务器任意文件读取漏洞

【Pikachu 靶场精讲】Token 防爆破

【漏洞复现】JieLink+智能终端操作平台存在通用弱口令

【漏洞通告】OpenCMS XXE漏洞（CVE-2023-42344）

CVE-2023-49070：由于 XML-RPC 仍然存在，Apache Ofbiz 18.12.09 中的预身份验证 RCE

红帆OA iorepsavexml 任意文件上传

【已复现】Apache OFBiz 远程代码执行漏洞(CVE-2023-49070)安全风险通告

云安宝-云匣子 config接口存在fastjson命令执行漏洞附POC

漏洞预警 | 福昕阅读器文件写入漏洞

发表评论

在线咨询

微信