0x00 漏洞概述
|
CVE ID |
CVE-2022-0540 |
发现时间 |
2022-04-20 |
|
类 型 |
身份验证绕过 |
等 级 |
高危 |
|
远程利用 |
是 |
影响范围 |
|
|
攻击复杂度 |
用户交互 |
||
|
PoC/EXP |
在野利用 |
0x01 漏洞详情
JIRA是Atlassian公司推出的项目与事务跟踪软件,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。
4月20日,Atlassian发布安全公告,修复了Jira和Jira Service Management中的一个身份验证绕过漏洞(CVE-2022-0540)。
Jira 和 Jira Service Management在其web认证框架Jira Seraph中存在身份验证绕过漏洞,可在未经身份验证的情况下通过发送特制的 HTTP 请求,绕过使用受影响配置的WebWork操作中的认证和授权要求。
影响范围
Atlassian Jira:
Jira < 8.13.18
Jira 8.14.x、8.15.x、8.16.x、8.17.x、8.18.x、8.19.x、8.21.x
Jira 8.20.x < 8.20.6
Atlassian Jira Service Management:
Jira Service Management < 4.13.18
Jira Service Management 4.14.x、4.15.x、4.16.x、4.17.x、4.18.x、4.19.x、4.21.x
Jira Service Management 4.20.x < 4.20.6
0x02 安全建议
目前此漏洞已经修复,建议受影响用户及时升级更新到以下版本:
Atlassian Jira版本:
8.13.x >= 8.13.18
8.20.x >= 8.20.6
其它所有版本 >= 8.22.0
下载链接:
https://www.atlassian.com/software/jira/update
Atlassian Jira Service Management版本:
4.13.x >= 4.13.18
4.20.x >= 4.20.6
其它所有版本 >= 4.22.0
下载链接:
https://www.atlassian.com/software/jira/service-management/update
0x03 参考链接
https://confluence.atlassian.com/jira/jira-security-advisory-2022-04-20-1115127899.html
https://jira.atlassian.com/browse/JRASERVER-73650
https://nvd.nist.gov/vuln/detail/CVE-2022-0540
0x04 版本信息
|
版本 |
日期 |
修改内容 |
|
V1.0 |
2022-04-22 |
首次发布 |
0x05 附录
原文始发于微信公众号(维他命安全):【漏洞通告】Atlassian Jira身份验证绕过漏洞(CVE-2022-0540)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论