一、背景介绍
7月6日,市委网信办技术支撑单位监测到Atlassian Jira 多款产品 Mobile Plugin 服务端请 求伪造漏洞(CVE-2022-26135)技术细节及 POC 在互联网上公开,该漏洞允许远程、经过身份验证的用户(包括通过注册功能加入的用户)通过某些授权的 API 进行服务端请求伪造。
1.1 漏洞描述
Atlassian Jira 多款产品 Mobile Plugin中存在服务端请求伪造漏洞(SSRF),经过身份验证的远程攻击者可通过向 Jira Core REST API 发送特制请求,从而伪造服务端发起请求,从而导致敏感信息泄露,同时为下一步攻击利用提供条件。需注意的是,若服务端开启注册功能,则未授权用户可通过注册获取权限进而利用。
1.2 漏洞编号
CVE-2022-26135
1.3 漏洞等级
高危
二、修复建议
2.1 受影响版本
Jira Core Server / Jira Software Server / Jira Software Data Center:
8.0 < 8.13.22
8.14.x
8.15.x
8.16.x
8.17.x
8.18.x
8.19.x
8.20.x < 8.20.10
8.21.x
8.22.x < 8.22.4
Jira Service Management Server / Data Center:
4.0 < 4.13.22
4.14.x
4.15.x
4.16.x
4.17.x
4.18.x
4.19.x
4.20.x < 4.20.10
4.21.x
4.22.x < 4.22.4
2.2 修复建议
升级到最新版本:
Jira Core Server、Jira Software Server 和 Jira Software Data Center 可升级至:
8.13.22
8.20.10
8.22.4
9.0.0
Jira Service Management Server 和 Data Center 可升级至:
4.13.22
4.20.10
4.22.4
5.0.0