【漏洞通告】Atlassian Jira Server和Data Center存在模板注入(CVE-2022-36799)

admin 2022年8月2日14:24:04评论148 views字数 804阅读2分40秒阅读模式

【漏洞通告】Atlassian Jira Server和Data Center存在模板注入(CVE-2022-36799)


【漏洞通告】Atlassian Jira Server和Data Center存在模板注入(CVE-2022-36799)

    

【漏洞通告】Atlassian Jira Server和Data Center存在模板注入(CVE-2022-36799)

  

    近日,泰若星环安全团队监测到Atlassian Jira 官方发布了关于Atlassian Jira Server 和 Data Center 存在模板注入漏洞(CVE-2022-36799)的修复信息,请受影响用户尽快升级到安全版本。



  • 漏洞评级

    高危CVSS评分:7.2)
  • 漏洞描述 

    Jira Software是 Atlassian公司开发的课题管理工具(项目管理工具)。通过高度的自定义性,实现bug管理,还有任务管理,工时管理,进度管理,日程管理等整个项目的管理。在某些受影响版本的 Atlassian Jira Server 和 Data Center 版本允许具有系统管理员权限的远程攻击者通过电子邮件模板中的{component}执行任意代码,从而导致电子邮件模板功能中的远程代码执行。


  • 影响版本

  • 版本 < 8.13.19

  • 8.14.0 ≤ 版本 < 8.20.7

  • 8.21.0 ≤ 版本 < 8.22.1


  • 安全版本

  • 8.13.19

  • 8.20.7

  • 8.22.1


  • 修复建议

目前,Atlassian Jira官方已发布漏洞修复版本,建议用户尽快升级到对应安全版本。


  • 参考链接:

    • https://jira.atlassian.com/browse/JRASERVER-73582





关于我们


“TERRA星环”安全团队正式成立于2020年,是贵州泰若数字科技有限公司旗下以互联网攻防技术研究为目标的安全团队。团队核心成员长期从事渗透测试、代码审计、应急响应等安服工作,多次参与国家、省级攻防演练行动,具备丰富的安服及攻防对抗经验。

团队专注于漏洞挖掘、漏洞研究、红蓝对抗、CTF夺旗、溯源取证、威胁情报、代码审计、逆向分析等研究。对外提供安全评估、安全培训、安全咨询、安全集成、应急响应等服务。

原文始发于微信公众号(TERRA星环安全团队):【漏洞通告】Atlassian Jira Server和Data Center存在模板注入(CVE-2022-36799)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月2日14:24:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞通告】Atlassian Jira Server和Data Center存在模板注入(CVE-2022-36799)https://cn-sec.com/archives/1216164.html

发表评论

匿名网友 填写信息