【漏洞通告】Atlassian Jira 服务端请求伪造漏洞CVE-2022-26135

Atlassian Jira 是一个项目管理和开发工具，能够对工作中各类问题、缺陷进行跟踪管理。

近日，深信服安全团队监测到一则 Atlassian Jira 存在服务器端请求伪造漏洞的信息，漏洞编号：CVE-2022-26135，漏洞威胁等级：高危。

该漏洞是由于 Mobile Plugin for Jira 组件存在一个服务端请求伪造问题。经过身份验证的远程攻击者可通过 Jira Core REST API 伪造服务端发送特制请求，从而导致服务端敏感信息泄露。

目前受影响的 Atlassian Jira 版本：

8.0<Jira Core Server/Jira Software Server/Jira Software Data Center<8.13.22

8.14.0<Jira Core Server/Jira Software Server/Jira Software Data Center<8.20.10

8.21.0<Jira Core Server/Jira Software Server/Jira Software Data Center<8.22.4

4.0<Jira Service Management Server/Data Center <4.13.22

4.14.0<Jira Service Management Server/Data Center <4.20.10

4.21.0<Jira Service Management Server/Data Center <4.22.4

主页最下方可以直接查看版本信息。

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://confluence.atlassian.com/jira/jira-server-security-advisory-29nd-june-2022-1142430667.html

(1) 关闭用户注册功能；

(2) 禁用 Mobile Plugin；

-在应用程序的顶部导航栏中，选择设置 -> 管理加载项或管理应用程序；

-找到 Mobile Plugin for Jira Data Center and Server 应用程序，然后选择禁用即可。 

(3) 升级 Mobile Plugin 至最新版本。

4.深信服解决方案

4.1 主动检测

支持对 Atlassian Jira 服务器端请求伪造漏洞的主动检测，可批量快速检出业务场景中该事件的受影响资产情况，相关产品如下：
【深信服安全云眼CloudEye】预计2022年7月15日发布检测方案。

【深信服云镜YJ】预计2022年7月15日发布检测方案。

【深信服漏洞评估工具TSS】预计2022年7月15日发布检测方案。

【深信服安全托管服务MSS】预计2022年7月15日发布检测方案。

4.2 安全监测
支持对 Atlassian Jira 服务器端请求伪造漏洞的监测，可依据流量收集实时监控业务场景中的受影响资产情况，快速检查受影响范围，相关产品及服务如下：
【深信服安全感知管理平台SIP】预计2022年7月7日发布检测方案。

【深信服安全托管服务MSS】预计2022年7月7日发布检测方案。

4.3 安全防护
支持对 Atlassian Jira 服务器端请求伪造漏洞的防御，可阻断攻击者针对该事件的入侵行为，相关产品及服务如下：
【深信服下一代防火墙AF】预计2022年7月7日发布防护方案。

【深信服Web应用防火墙WAF】预计2022年7月7日发布防护方案。
【深信服安全托管服务MSS】预计2022年7月7日发布防护方案。