关于Atlassian Jira 服务端请求伪造漏洞(CVE-2022-26135)的安全告知
时间:2022-07-07 18:06:20来源:信息安全服务部作者:梦之想科技
Atlassian Jira 是一个项目管理和开发工具,能够对工作中各类问题、缺陷进行跟踪管理。
漏洞详情
近日,Atlassian Jira 服务端请求伪造漏洞PoC及细节在互联网上公开,多款产品 Mobile Plugin中存在服务端请求伪造漏洞(CVE-2022-26135),该漏洞是由于 Mobile Plugin for Jira 组件存在一个服务端请求伪造问题,经过身份验证的远程攻击者可通过 Jira Core REST API 伪造服务端发送特制请求,从而导致服务端敏感信息泄露。
影响范围
8.0<Jira Core Server/Jira Software Server/Jira Software Data Center<8.13.22
8.14.0<Jira Core Server/Jira Software Server/Jira Software Data Center<8.20.10
8.21.0<Jira Core Server/Jira Software Server/Jira Software Data Center<8.22.4
4.0<Jira Service Management Server/Data Center <4.13.22
4.14.0<Jira Service Management Server/Data Center <4.20.10
4.21.0<Jira Service Management Server/Data Center <4.22.4
修复建议
当前官方已发布最新版本,及时更新升级到最新版本。链接如下:
https://confluence.atlassian.com/jira/jira-server-security-advisory-29nd-june-2022-1142430667.html
参考链接
https://nvd.nist.gov/vuln/detail/CVE-2022-26135