【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析

admin

138642
文章

114
评论

2022年8月11日12:50:02评论187 views字数 2083阅读6分56秒阅读模式

【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析

xxhzz

@PortalLab实验室

漏洞描述

6月29日，Atlassian官方发布安全公告，在Atlassian Jira 多款产品中存在服务端请求伪造漏洞(SSRF)，经过身份验证的远程攻击者可通过向Jira Core REST API发送特制请求，从而伪造服务端发起请求，从而导致敏感信息泄露，同时为下一步攻击利用提供条件。需注意的是，若服务端开启注册功能，则未授权用户可通过注册获取权限进而利用。

利用范围

Jira Core Server, Jira Software Server, and Jira Software Data Center:

Versions after 8.0 and before 8.13.22

8.14.x

8.15.x

8.16.x

8.17.x

8.18.x

8.19.x

8.20.x before 8.20.10

8.21.x

8.22.x before 8.22.4

Jira Service Management Server and Data Center:

Versions after 4.0 and before 4.13.22

4.14.x

4.15.x

4.16.x

4.17.x

4.18.x

4.19.x

4.20.x before 4.20.10
4.21.x
4.22.x before 4.22.4

漏洞分析

环境搭建

使用docker搭建，在docker仓库（https://hub.docker.com/r/weareogury/atlassian-jira-software/tags）中可找到漏洞版本的Jira Software Server镜像。

按步骤进行配置即可。

环境搭建成功

代码分析

分析Jira Mobile 插件，在com.atlassian.jira.plugin.mobile.rest.v1_0.BatchResource中存在barch API接口，阅读代码，该API应该是用于接收多个请求并在服务端执行。

分析下方的executeBatch函数。

在如图所示代码，实际负责发送HTTP请求。其中batchService接口的实现类BatchServiceImpl位于com.atlassian.jira.plugin.mobile.service.impl.BatchServiceImpl.class

分析batch函数。

根据如上代码，定位execute函数。

其中relativeLocation来自于requestBean.getLocation中的location。

后续传入toJiraLocation函数

【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析

继续跟进，位于com.atlassian.jira.plugin.mobile.util.LinkBuilder.class

URL通过简单的拼接构造，而其中的path来自于location，完全可控。

继续回到execute函数。

location会从json对象中获取，在获取到URL对象后，再调用httpClientProvider发送Http请求。

因为URL的后半部分是可控的，如果我们简单指定location为@xx.com，那么最终的URL为https://[email protected]，httpClientProvider实际上会对xx.com发送http请求，所以导致了SSRF漏洞产生。

漏洞复现

使用burpsuite自带的dnslog功能进行探测，成功发送请求。

【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析

修复建议

1. 将受影响的产品升级到最新安全版本:

Jira Core Server、Jira Software Server 和 Jira Software Data Center 可升级至：

8.13.22
8.20.10
8.22.4
9.0.0

Jira Service Management Server 和 Data Center 可升级至：

4.13.22
4.20.10
4.22.4
5.0.0

2. 缓解措施

(1) 关闭用户注册功能。

(2) 禁用Mobile Plugin，具体步骤如下：

a、在应用程序的顶部导航栏中，选择设置 -> 管理加载项或管理应用程序。

b、找到Mobile Plugin for Jira Data Center and Server应用程序，然后选择禁用即可。

(3) 升级Mobile Plugin至最新版本。

参考材料

https://confluence.atlassian.com/jira/jira-server-security-advisory-29nd-june-2022-1142430667.html

关于Portal Lab

星阑科技 Portal Lab 致力于前沿安全技术研究及能力工具化。主要研究方向为API 安全、应用安全、攻防对抗等领域。实验室成员研究成果曾发表于BlackHat、HITB、BlueHat、KCon、XCon等国内外知名安全会议，并多次发布开源安全工具。未来，Portal Lab将继续以开放创新的态度积极投入各类安全技术研究，持续为安全社区及企业级客户提供高质量技术输出。

【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析

原文始发于微信公众号（星阑PortalLab）：【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析

环境搭建

代码分析

Web3 安全入门避坑指南｜剪贴板安全

利用n8n结合ollama-Deepseek大模型创建智能体

如何利用图像验证技术识别钓鱼攻击？

Webshell免杀思路-PHP篇-1：经典混淆的艺术

CimFS：内存崩溃，查找系统（内核版）

Astral-PE 是用于本机 Windows PE 文件（x32/x64）的低级变异器（Headers/EP 混淆器）

【通俗易懂说AI】MCP如何安装以及使用

深入解析 URL 跳转漏洞：审计方法与渗透实战全攻略

记一次前端js加解密泄露引发的漏洞

一文吃透文件上传漏洞！路径遍历、后缀绕过、ZIP炸弹全解析

发表评论

在线咨询

微信