【漏洞通告】Atlassian Jira 身份验证绕过漏洞CVE-2022-0540

Atlassian Jira 是 Atlassian 公司出品的项目与事务跟踪工具，被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。

Atlassian Jira 是一套敏捷的工作管理解决方案，它可为所有团队提供从概念到客户的全方位支持，以便用户以最佳方式协助完成工作。而 Atlassian Jira Service Management 是面向团队的服务管理解决方案，可通过它管理 Atlassian 旗下的其他 Jira 系列软件。

近日，深信服安全团队监测到一则 Atlassian Jira 身份验证绕过漏洞的信息，漏洞编号：CVE-2022-0540，威胁等级：高危。

该漏洞是由于其所使用的 Web 身份验证框架 Jira Seraph 中存在身份验证绕过漏洞。未经身份验证的远程攻击者可以通过发送特制的 HTTP 请求来利用此漏洞，并使用受影响的配置绕过 WebWork 操作中的身份验证和授权要求。

Atlassian Jira 和 Atlassian Jira Service Management 作为目前业界主流的事务跟踪软件，广泛用于各类企业中。

目前受影响的 Atlassian Jira 和 Atlassian Jira Service Management 版本：

Atlassian Jira < 8.13.18

Atlassian Jira 8.14.x、8.15.x、8.16.x、8.17.x、8.18.x、8.19.x

Atlassian Jira 8.20.x < 8.20.6

Atlassian Jira 8.21.x

Atlassian Jira Service Management < 4.13.18

Atlassian Jira Service Management 4.14.x、4.15.x、4.16.x、4.17.x、4.18.x、4.19.x

Atlassian Jira Service Management 4.20.x < 4.20.6

Atlassian Jira Service Management 4.21.x

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下。

Atlassian Jira：

https://www.atlassian.com/software/jira/update

Atlassian Jira Service Management：

https://www.atlassian.com/software/jira/service-management/update

1.https://confluence.atlassian.com/jira/jira-security-advisory-2022-04-20-1115127899.html

2.https://jira.atlassian.com/browse/JRASERVER-73650

3.https://jira.atlassian.com/browse/JSDSERVER-11224

点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。