一、漏洞详情
JIRA是Atlassian公司推出的项目与事务跟踪软件,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。
Atlassian发布安全公告,修复了Jira和JiraServiceManagement中的一个身份验证绕过漏洞(CVE-2022-0540)。
Jira和JiraServiceManagement在其web认证框架JiraSeraph中存在身份验证绕过漏洞,可在未经身份验证的情况下通过发送特制的HTTP请求,绕过使用受影响配置的WebWork操作中的认证和授权要求。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Atlassian Jira:
Jira < 8.13.18
Jira 8.14.x、8.15.x、8.16.x、8.17.x、8.18.x、8.19.x、8.21.x
Jira 8.20.x < 8.20.6
Atlassian Jira Service Management:
Jira Service Management < 4.13.18
Jira Service Management 4.14.x、4.15.x、4.16.x、4.17.x、4.18.x、4.19.x、4.21.x
Jira Service Management 4.20.x < 4.20.6
三、修复建议
目前此漏洞已经修复,建议受影响用户及时升级更新到以下版本:
Atlassian Jira版本: