关于Atlassian Jira 多款产品 Mobile Plugin 服务端请求伪造漏洞

2022-07-0710

一、背景介绍

7月6日,市委网信办技术支撑单位监测到Atlassian Jira 多款产品 Mobile Plugin 服务端请 求伪造漏洞(CVE-2022-26135)技术细节及 POC 在互联网上公开,该漏洞允许远程、经过身份验证的用户(包括通过注册功能加入的用户)通过某些授权的 API 进行服务端请求伪造。

1.1 漏洞描述

Atlassian Jira 多款产品 Mobile Plugin中存在服务端请求伪造漏洞(SSRF),经过身份验证的远程攻击者可通过向 Jira Core REST API 发送特制请求,从而伪造服务端发起请求,从而导致敏感信息泄露,同时为下一步攻击利用提供条件。需注意的是,若服务端开启注册功能,则未授权用户可通过注册获取权限进而利用。

1.2 漏洞编号

CVE-2022-26135

1.3 漏洞等级

高危


二、修复建议

2.1 受影响版本

Jira Core Server / Jira Software Server / Jira Software Data Center: 

8.0 < 8.13.22 

8.14.x 

8.15.x 

8.16.x 

8.17.x 

8.18.x 

8.19.x 

8.20.x < 8.20.10 

8.21.x 

8.22.x < 8.22.4 

Jira Service Management Server / Data Center: 

4.0 < 4.13.22 

4.14.x 

4.15.x 

4.16.x 

4.17.x 

4.18.x 

4.19.x 

4.20.x < 4.20.10 

4.21.x 

4.22.x < 4.22.4

2.2 修复建议

升级到最新版本: 

Jira Core Server、Jira Software Server 和 Jira Software Data Center 可升级至: 

8.13.22 

8.20.10 

8.22.4 

9.0.0 

Jira Service Management Server 和 Data Center 可升级至: 

4.13.22 

4.20.10 

4.22.4 

5.0.0