Atlassian Jira 是一个项目管理和开发工具，能够对工作中各类问题、缺陷进行跟踪管理。

漏洞详情

近日，Atlassian Jira 服务端请求伪造漏洞PoC及细节在互联网上公开，多款产品 Mobile Plugin中存在服务端请求伪造漏洞（CVE-2022-26135），该漏洞是由于 Mobile Plugin for Jira 组件存在一个服务端请求伪造问题，经过身份验证的远程攻击者可通过 Jira Core REST API 伪造服务端发送特制请求，从而导致服务端敏感信息泄露。

影响范围

8.0<Jira Core Server/Jira Software Server/Jira Software Data Center<8.13.22

8.14.0<Jira Core Server/Jira Software Server/Jira Software Data Center<8.20.10

8.21.0<Jira Core Server/Jira Software Server/Jira Software Data Center<8.22.4

4.0<Jira Service Management Server/Data Center <4.13.22

4.14.0<Jira Service Management Server/Data Center <4.20.10

4.21.0<Jira Service Management Server/Data Center <4.22.4

修复建议

当前官方已发布最新版本，及时更新升级到最新版本。链接如下：

https://confluence.atlassian.com/jira/jira-server-security-advisory-29nd-june-2022-1142430667.html

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2022-26135