【已复现】Atlassian Jira 多款产品Mobile Plugin服务端请求伪造漏洞安全风险通告

admin
admin
admin
138484
文章
114
评论
2022年7月6日18:37:38评论59 views字数 2320阅读7分44秒阅读模式
【已复现】Atlassian Jira 多款产品Mobile Plugin服务端请求伪造漏洞安全风险通告

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




安全通告



近日,奇安信CERT监测到Atlassian Jira 多款产品 Mobile Plugin 服务端请求伪造漏洞PoC及细节在互联网上公开,经过身份验证的远程攻击者可通过Jira Core REST API伪造服务端发送特制请求,从而导致服务端敏感信息泄露,同时为下一步攻击利用提供条件。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。

漏洞名称

Atlassian Jira 多款产品 Mobile Plugin 服务端请求伪造漏洞

公开时间

2022-06-26

更新时间

2022-07-06

CVE编号

CVE-2022-26135

其他编号

QVD-2022-10217

威胁类型

信息泄露

技术类型

服务端请求伪造

厂商

Atlassian

产品

Jira Server

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

已发现

已发现

未发现

已公开

漏洞描述

Atlassian Jira 多款产品 Mobile Plugin中存在服务端请求伪造漏洞(SSRF),经过身份验证的远程攻击者可通过向Jira Core REST API发送特制请求,从而伪造服务端发起请求,从而导致敏感信息泄露,同时为下一步攻击利用提供条件。需注意的是,若服务端开启注册功能,则未授权用户可通过注册获取权限进而利用。

影响版本

Jira Core Server/Jira Software Server/Jira Software Data Center:

  • 8.0 < 8.13.22

  • 8.14.x

  • 8.15.x

  • 8.16.x

  • 8.17.x

  • 8.18.x

  • 8.19.x

  • 8.20.x < 8.20.10

  • 8.21.x

  • 8.22.x < 8.22.4

Jira Service Management Server/Data Center:

  • 4.0 < 4.13.22

  • 4.14.x

  • 4.15.x

  • 4.16.x

  • 4.17.x

  • 4.18.x

  • 4.19.x

  • 4.20.x < 4.20.10

  • 4.21.x

  • 4.22.x < 4.22.4

不受影响版本

Jira Core Server/Jira Software Server/Jira Software Data Center:

  • 8.13.x >= 8.13.22

  • 8.20.x >= 8.20.10

  • 8.22.x >= 8.22.4

  • 9.0.0

Jira Service Management Server and Data Center:

  • 4.13.x >= 4.13.22

  • 4.20.x >= 4.20.10

  • 4.22.x >= 4.22.4

  • 5.0.0

其他受影响组件


目前,奇安信CERT已成功复现Atlassian Jira 多款产品 Mobile Plugin 服务端请求伪造漏洞(CVE-2022-26135),截图如下:

【已复现】Atlassian Jira 多款产品Mobile Plugin服务端请求伪造漏洞安全风险通告



威胁评估

漏洞名称

Atlassian Jira多款产品Mobile Plugin服务端请求伪造漏洞

CVE编号

CVE-2022-26135

其他编号

QVD-2022-10217

CVSS 3.1评级

高危

CVSS 3.1分数

8.5

CVSS向量

访问途径(AV)

攻击复杂度(AC)

网络

所需权限(PR)

用户交互(UI)

低权限

不需要

影响范围(S)

机密性影响(C)

改变

完整性影响(I)

可用性影响(A)

危害描述

经过身份验证的远程攻击者可通过Jira Core REST API伪造服务端发送特制请求,从而导致服务端敏感信息泄露,同时为下一步攻击利用提供条件。



处置建议

1. 升级到最新版本:

Jira Core Server、Jira Software Server 和 Jira Software Data Center 可升级至:

  • 8.13.22

  • 8.20.10

  • 8.22.4 

  • 9.0.0

Jira Service Management Server 和Data Center可升级至:

  • 4.13.22

  • 4.20.10

  • 4.22.4 

  • 5.0.0


2. 缓解措施:

(1) 关闭用户注册功能

(2) 禁用Mobile Plugin

1、在应用程序的顶部导航栏中,选择设置 -> 管理加载项或管理应用程序
2、找到Mobile Plugin for Jira Data Center and Server应用程序,然后选择禁用即可。 

(3) 升级Mobile Plugin至最新版本


更多详情请参见:

https://confluence.atlassian.com/jira/jira-server-security-advisory-29nd-june-2022-1142430667.html



产品解决方案

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全面支持对Jira多个产品服务端请求伪造漏洞(CVE-2022-26135)的防护。


奇安信天眼产品解决方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.0706.13422上版本。规则名称:Atlassian Jira多个产品服务端请求伪造漏洞(CVE-2022-26135),规则ID:0x10020FC7。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。



参考资料

[1]https://confluence.atlassian.com/jira/jira-server-security-advisory-29nd-june-2022-1142430667.html



时间线

2022年7月6日,奇安信 CERT发布安全风险通告。


点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

原文始发于微信公众号(奇安信 CERT):【已复现】Atlassian Jira 多款产品Mobile Plugin服务端请求伪造漏洞安全风险通告

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月6日18:37:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【已复现】Atlassian Jira 多款产品Mobile Plugin服务端请求伪造漏洞安全风险通告https://cn-sec.com/archives/1161912.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息