Atlassian在Jira中修补了完整读取的SSRF漏洞CVE-2022-26135

admin 2022年7月27日16:16:29评论85 views字数 960阅读3分12秒阅读模式

Atlassian流行的问题跟踪和项目管理软件Jira容易受到服务器端请求伪造(SSRF)漏洞的攻击,研究人员可以在没有获得凭据的情况下滥用该漏洞。“根据Jira实例的配置,有多种方法可以在Jira上创建用户帐户以利用此问题,”ssetnote 首席技术官兼创始人Shubham Shah在博客文章中说。这包括滥用Jira Service Desk的注册功能,该功能通常是为了提供自助服务机制而启用的。“通过首先在Jira Service Desk上注册,然后使用该帐户访问Jira Core REST API,我们能够成功利用此身份验证后漏洞,”Shah说。

Atlassian在Jira中修补了完整读取的SSRF漏洞CVE-2022-26135


Shah说,被跟踪为CVE-2022-26135的“高严重性”、完全读取的SSRF驻留在Jira Server Core中,“它允许攻击者使用任何HTTP方法、标头和正文向任意URL发出请求”。


该问题会影响Mobile Plugin for Jira中使用的批处理HTTP端点,该端点与Jira和Jira Service Management捆绑在一起。


根据Atlassian的安全咨询,“可以通过易受攻击端点正文中的方法参数控制HTTP方法和预期URL的位置” 。


“根据部署Jira实例的环境,此错误的影响会有所不同,”它继续说道。“例如,当部署在AWS中时,它可能会泄露敏感凭证。”


Assetnote研究人员设计的概念验证漏洞尝试在Jira Core或Jira Service Desk上注册一个帐户,然后自动利用SSRF漏洞。


该漏洞于4月21日向Atlassian的安全团队报告,补丁于6月29日发布。


Jira和Jira Service Management的所有早期版本都受到该漏洞的影响。


研究人员在对2022年4月披露的Seraph中的身份验证绕过漏洞进行逆向工程补丁后发现了SSRF,该漏洞也影响了Mobile Plugin for Jira。


“评估供应商建议、补丁和对受影响的组件进行逆向工程有时会导致发现新的漏洞,”Shah说。


他还建议其他研究人员“即使无法通过漏洞绕过身份验证,也要考虑应用程序的完整上下文及其功能,以确定利用身份验证后攻击面中发现的问题的替代方法”。


原文始发于微信公众号(郑州网络安全):Atlassian在Jira中修补了完整读取的SSRF漏洞CVE-2022-26135

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月27日16:16:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Atlassian在Jira中修补了完整读取的SSRF漏洞CVE-2022-26135https://cn-sec.com/archives/1203518.html

发表评论

匿名网友 填写信息