一、背景介绍
近日,市委网信办技术支撑单位监测到Atlassian发布了安全公告,修复了Jira Service Management Server和Data Center身份认证绕过漏洞(CVE-2023-22501)。
1.1 漏洞描述
当Jira Service Management开启用户目录和邮件外发的写入权限时,攻击者可获取尚未登录过账户的用户注册凭证,最终攻击者可冒用这些用户身份获得对Jira Service Management实例访问权限。值得一提的是大部分机器人账户容易被利用。
1.2 漏洞编号
CVE-2023-22501
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
5.3.0 <= Jira Service Management Server/Data Center <= 5.3.2
5.4.0 <= Jira Service Management Server/Data Center <= 5.4.1
Jira Service Management Server/Data Center == 5.5.0
2.2 修复建议
目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本:
Jira Service Management Server 5.3.3
Jira Service Management Server 5.4.2
Jira Service Management Server 5.5.1
Jira Service Management Server >= 5.6.0
Jira Service Management Data Center 5.3.3
Jira Service Management Data Center 5.4.2
Jira Service Management Data Center 5.5.1
Jira Service Management Data Center >= 5.6.0