聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞的编号是CVE-2022-0540,CVSS 评分为9.9,位于 Jira 认证框架 Jira Seraph 中。Viettel 网络安全公司的研究员 Khoadha 发现并报告了该漏洞。
Atlassian 指出,“远程未认证攻击者可发送特殊构造的 HTTP 请求,绕过使用受影响配置的WebWork 操作中的认证和授权要求,利用该漏洞”
这些缺陷影响如下 Jira 产品:
Jira Core Server、Jira Software Server和Jira Software Data Center:所有早于8.13.18、8.14.x、8.15.x、8.16.x、8.17.x、8.18.x、8.19.x的版本,早于8.20.6的8.20.x版本以及 8.21.x 版本。
Jira Service Management Server和Jira Service Management Data Center:所有早于4.13.18、4.14.x、4.15.x、4.16.x、4.17.x、4.18.x、4.19.x,早于4.20.6的4.20.x 版本,以及4.21.x版本。
已修复的 Jira 和 Jira Service Management 版本是 8.13.18、8.20.6、8.22.0、4.13.18、4.20.6和 4.22.0。
Atlassian 同时表示,如果第一方和第三方应用安装在上述提到的 Jira 或 Jira Service Management 版本之一且使用易受攻击的配置,则这些应用也受影响。
强烈建议用户更新至任一已修复版本以缓解潜在的利用尝试。如无法立即打补丁则建议将受影响应用更新至已修复版本或立即禁用。
值得注意的是,Atlassian Confluence(CVE-2021-26084,CVSS 9.8)中存在一个严重的远程代码执行漏洞,去年已被用于在受陷服务器上安装密币矿机。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...