近日,泰若星环安全团队监测到Jira Data Center and Server服务器端请求伪造(CVE-2022-26135)漏洞POC已在互联网上公开,请受影响用户尽快升级到安全版本。
-
漏洞评级
-
漏洞描述
Jira Software是 Atlassian公司开发的课题管理工具(项目管理工具)。通过高度的自定义性,实现bug管理,还有任务管理,工时管理,进度管理,日程管理等整个项目的管理。在某些版本的Jira 数据中心和服务器的Mobile Plugin中的一个漏洞允许远程、经过身份验证的用户(包括通过注册功能加入的用户)通过批处理端点可执行服务器端请求伪造。
-
影响产品
Jira:
-
Jira 核心服务器
-
Jira 软件服务器
-
Jira 软件数据中心
Jira 服务管理 (JSM):
-
Jira 服务管理服务器
-
Jira 服务管理数据中心
-
影响版本
Jira 核心服务器、Jira 软件服务器和 Jira 软件数据中心:
-
8.0 之后和 8.13.22 之前的版本
-
8.14.x
-
8.15.x
-
8.16.x
-
8.17.x
-
8.18.x
-
8.19.x
-
8.20.x < 8.20.10
-
8.22.x < 8.22.4
Jira 服务管理服务器和数据中心:
-
4.0 之后和 4.13.22 之前的版本
-
4.14.x
-
4.15.x
-
4.16.x
-
4.17.x
-
4.18.x
-
4.19.x
-
4.20.x 之后和4.20.10 之前的版本
-
4.21.x
-
4.22.x 之后和4.22.4 之前的版本
-
安全版本
Jira 核心服务器、Jira 软件服务器和 Jira 软件数据中心:
-
8.13.x >= 8.13.22
-
8.20.x >= 8.20.10
-
8.22.x >= 8.22.4
-
9.0.0
Jira 服务管理服务器和数据中心:
-
4.13.x >= 4.13.22
-
4.20.x >= 4.20.10
-
4.22.x >= 4.22.4
-
5.0.0
-
修复建议
升级更新:
目前,Jira官方已发布漏洞修复补丁,建议用户尽快下载更新至对应最新版本。
下载地址:
-
Jira Core:
https://www.atlassian.com/software/jira/core/download
-
Jira Software:
https://www.atlassian.com/software/jira/update
-
Jira Service Management:https://www.atlassian.com/software/jira/service-management/update
缓解措施:
手动升级Mobile Plugin到3.2.15修复版本或者禁用该插件。
-
参考链接:
-
https://confluence.atlassian.com/jira/jira-server-security-advisory-29nd-june-2022-1142430667.html
-
https://github.com/assetnote/jira-mobile-ssrf-exploit
原文始发于微信公众号(TERRA星环安全团队):【漏洞通告】Jira Server存在SSRF漏洞(CVE-2022-26135)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论