安全通告
关于Atlassian Jira身份验证绕过漏洞安全风险通告
发布日期:2022-05-12
漏洞描述
2022年05月12日,监测到一则Atlassian发布的安全公告,修复了Jira和Jira Service Management中的一个身份验证绕过漏洞(CVE-2022-0540)。
JIRA是Atlassian公司推出的项目与事务跟踪软件,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。
Jira 和 Jira Service Management在其web认证框架Jira Seraph中存在身份验证绕过漏洞,可在未经身份验证的情况下通过发送特制的 HTTP 请求,绕过使用受影响配置的WebWork操作中的认证和授权要求。
目前此漏洞已经修复,建议广大用户及时将Jira和Jira Service Management升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
漏洞编号
CVE-2022-0540
漏洞危害
未经身份验证的远程攻击者可发送特制的 HTTP 请求利用该漏洞,实现身份认证绕过。
漏洞等级
高危
受影响版本
Atlassian Jira:
Jira < 8.13.18
Jira 8.14.x、8.15.x、8.16.x、8.17.x、8.18.x、8.19.x、8.21.x
Jira 8.20.x < 8.20.6
Atlassian Jira Service Management:
Jira Service Management < 4.13.18
Jira Service Management 4.14.x、4.15.x、4.16.x、4.17.x、4.18.x、4.19.x、4.21.x
Jira Service Management 4.20.x < 4.20.6
修复方案
目前此漏洞已经修复,建议受影响用户及时升级更新到以下版本:
Atlassian Jira版本:
8.13.x >= 8.13.18
8.20.x >= 8.20.6
其它所有版本 >= 8.22.0
下载链接:
https://www.atlassian.com/software/jira/update
Atlassian Jira Service Management版本:
4.13.x >= 4.13.18
4.20.x >= 4.20.6
其它所有版本 >= 4.22.0
下载链接:
https://www.atlassian.com/software/jira/service-management/update
参考链接
- https://confluence.atlassian.com/jira/jira-security-advisory-2022-04-20-1115127899.html
- https://jira.atlassian.com/browse/JRASERVER-73650
- https://nvd.nist.gov/vuln/detail/CVE-2022-0540