尊敬的腾讯云用户,您好!
腾讯云安全运营中心监测到, Atlassian 官方发布安全通告,提示其 Jira Seraph 存在漏洞,漏洞编号CVE-2022-0540。可影响包括Jira、Jira Service Management等产品,导致攻击者可绕过身份验证等危害。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
JIRA是Atlassian公司开发的项目与工作管理工具,被广泛应用于项目跟踪和敏捷管理等领域。
Jira 和 Jira Service Management 使用了Jira Seraph作为web身份认证框架。
未经身份验证的远程攻击者可利用Jira Seraph中的该漏洞,通过发送特制的 HTTP 请求绕过身份验证。
风险等级
高风险
漏洞风险
攻击者利用该漏洞可导致攻击者绕过身份验证
影响版本
受影响的Jira版本:
Jira < 8.13.18
Jira 8.14.x、8.15.x、8.16.x、8.17.x、8.18.x、8.19.x
Jira 8.20.x < 8.20.6
Jira 8.21.x
受影响的Jira Service Management版本:
Jira Service Management < 4.13.18
Jira Service Management 4.14.x、4.15.x、4.16.x、4.17.x、4.18.x、4.19.x
Jira Service Management 4.20.x < 4.20.6
Jira Service Management 4.21.x
安全版本
Jira 8.13.x >= 8.13.18
Jira 8.20.x >= 8.20.6
Jira >= 8.22.0
Jira Service Management 4.13.x >= 4.13.18
Jira Service Management 4.20.x >= 4.20.6
Jira Service Management >= 4.22.0
修复建议
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考
https://confluence.atlassian.com/jira/jira-security-advisory-2022-04-20-1115127899.htmlhttps://jira.atlassian.com/browse/JRASERVER-73650https://nvd.nist.gov/vuln/detail/CVE-2022-0540
2022-04-21