【高危安全通告】Atlassian Crowd 授权问题漏洞

admin 2023年1月17日01:37:15评论34 views字数 1867阅读6分13秒阅读模式

↑ 点击上方 关注我们

安全狗应急响应中心监测到Atlassian Crowd存在安全漏洞,该漏洞源于其允许攻击者通过错误的安全配置验证为人群应用程序,并能够调用Crowd REST API中{{usermanagement}}路径下的特权端点。目前,Atlassian官方发布了安全更新,Crow3.0已停止支持,漏洞编号:CVE-2022-43782


漏洞描述


Atlassian Crowd和Atlassian Crowd Data Center都是澳大利亚Atlassian公司的产品。Atlassian Crowd是一套基于Web的单点登录系统。该系统为多用户、网络应用程序和目录服务器提供验证、授权等功能。Atlassian Crowd Data Center是Crowd的集群部署版。CVE-2022-43782 中,Atlassian Crowd和Atlassian Crowd Data Center 3.0 版本及其之后在同时满足以下条件时受影响:

1、Atlassian Crowd 和 Atlassian Crowd Data Center 
为新安装版本,不是从旧版本升级而来,而是从以下网址下载安装:
https://www.atlassian.com/software/crowd/download/data-center

2、在Atlassian Crowd和Atlassian Crowd Data Center Remote Address 配置中增加了IP,默认情况下为空。

在同时满足以上两个条件的情况下,攻击者可从相关IP地址调用Atlassian Crowd和Atlassian Crowd Data Center usermanagement REST API,而无需通过密码身份认证,执行任意敏感操作。


安全通告信息


漏洞名称

Atlassian Crowd and Crowd Data Center 权限绕过

漏洞影响版本

Crowd 3.0.0 - Crowd 3.7.2

Crowd 4.0.0 - Crowd 4.4.3

Crowd 5.0.0 - Crowd 5.0.2

漏洞危害等级

厂商是否已发布漏洞补丁

版本更新地址

https://blog.zimbra.com/2022/08/authentication-bypass-in-mailboximportservlet-vulnerability/

安全狗总预警期数

252

安全狗发布预警日期

20221202

安全狗更新预警日期

20221202

发布者

安全狗海青实验室



安全官方建议


安全建议

目前漏洞已经修复,受影响用户可升级到安全版本及以上,建议升级至:Crowd 5.x/4.x系列

参考链接
https://confluence.atlassian.com/crowd/crowd-security-advisory-november-2022-1168866129.html
https://jira.atlassian.com/browse/CWD-5888
https://nvd.nist.gov/vuln/detail/CVE-2022-43782
https://cxsecurity.com/cveshow/CVE-2022-43782/



安全狗产品解决方案


若想了解更多安全狗产品信息或有相关业务需求,可前往安全狗官网了解:https://www.safedog.cn/



01

云眼·新一代(云)主机入侵检测及安全管理系统


安全狗云眼采用Gartner提出的CWPP理念,提出了以工作负载为中心,以自动化、细粒度资产采集为基础,提供多种风险排查和漏洞发现手段,依托反杀伤链和实时入侵检测响应能力支撑企业安全防护二道防线,解决现代混合云、多云数据中心基础架构中服务器工作负载的安全需求,最终达到对已知威胁的自动响应以及对潜在威胁的检测识别。

02

云御·新一代混合式web应用防护系统


云御是一款新一代混合式Web防火墙产品,通过网络层过滤和主机应用层自保护(RASP)相结合的技术,既能够过滤传统常见的攻击又可以对异常变形和未知漏洞的高级攻击进行识别,达到双层纵深防御的效果。

03

云网·(云)主机漏洞发现及补丁修复系统


安全狗云网·发现及补丁修复系统可以为用户构建属于自己的补丁大数据仓库,用于修补可能导致安全薄弱、破坏关键系统数据或导致系统不可用的漏洞。云网不仅可以进行补丁部署,还可扫描网络漏洞、识别缺失的安全补丁和修补程序,并立即部署以降低网络空间风险。


原文始发于微信公众号(海青安全研究实验室):【高危安全通告】Atlassian Crowd 授权问题漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月17日01:37:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【高危安全通告】Atlassian Crowd 授权问题漏洞http://cn-sec.com/archives/1440585.html

发表评论

匿名网友 填写信息