一、 漏洞描述
2022年04月21日, Atlassian官方 发布了Jira和Jira Service Management的风险通告,漏洞编号为CVE-2022-0540,漏洞等级:高危,漏洞评分:8.5。
JIRA是Atlassian公司出品的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。
二、 漏洞详情
CVE-2022-0540 : Jira 身份验证绕过漏洞
CVE: CVE-2022-0540
组件: Jira和Jira Service Management
漏洞类型: 代码问题
影响: 身份验证绕过
简述: Jira 和 Jira Service Management 容易受到其 Web 身份验证框架 Jira Seraph 中的身份验证绕过的攻击。未经身份验证的远程攻击者可以通过发送特制的 HTTP 请求来利用此漏洞,以使用受影响的配置绕过 WebWork 操作中的身份验证和授权要求。
三、 影响版本
受影响组件 | 影响产品或系统版本 | 安全版本 |
Jira | Jira所有版本 < 8.13.18 Jira 8.14.x、8.15.x、8.16.x、8.17.x、8.18.x、8.19.x Jira 8.20.x < 8.20.6 Jira 8.21.x | 8.13.x >= 8.13.18
8.20.x >= 8.20.6
Jira所有版本 >= 8.22. |
Jira Service Management | -Jira Service Management所有版本 < 4.13.18
Jira Service Management 4.14.x、4.15.x、4.16.x、4.17.x、4.18.x、4.19.x
Jira Service Management 4.20.x < 4.20.6
Jira Service Management 4.21.x | 4.13.x >= 4.13.18
4.20.x >= 4.20.6
Jira Service Management所有版本 >= 4.22.0 |
四、 安全版本
见三·影响版本
五、 安全建议
根据影响版本中的信息,排查并升级到安全版本。