技術支援
文件
登錄
聯繫我們
Atlassian 解決嚴重安全漏洞
奧班拉·奧佩耶米
實施期間: 2023年2月14 日 - TuxCare專家團隊
Atlassian 已解決其 Jira 服務管理伺服器和數據中心中的一個嚴重安全漏洞,該漏洞可能允許攻擊者冒充其他使用者並獲得未經授權的訪問。
該漏洞被稱為 CVE-2023-22501,已被歸類為攻擊複雜性較低的損壞身份驗證問題。據該公司稱,如果攻擊者對使用者目錄和傳出電子郵件具有寫入許可權,則該漏洞將允許攻擊者訪問 Jira 服務管理實例。
攻擊者可以通過包含在 Jira 事務或使用者請求中,或者通過訪問包含來自這些使用者的「查看請求」連結的電子郵件來獲取註冊令牌。該漏洞會影響通過電子郵件與實例交互的外部客戶,即使配置了單點登錄 (SSO) 也是如此。
攻擊者可用於未經授權訪問 Jira 服務管理伺服器和數據中心的令牌可在兩種情況下獲取。首先,如果攻擊者包含在 Jira 與這些使用者發出的問題或請求中。其次,如果攻擊者被轉發或以其他方式訪問包含這些使用者的“查看請求”鏈接的電子郵件。
這些令牌將發送給具有從未登錄過的帳戶的使用者,這些使用者在 Jira 服務管理實例上啟用了對使用者目錄和傳出電子郵件的寫入許可權。請務必注意,該漏洞是在版本 5.3.0 中引入的,會影響 5.5.0 之前的所有後續版本。
Atlassian 表示,該漏洞是在 5.3.0 版中引入的,會影響所有後續版本。該公司已在版本 5.3.3、5.3.3、5.5.1 和 5.6.0 或更高版本中提供了修補程式。Jira 網站通過 Atlassian 託管在雲上[。網路域不受此缺陷的影響,在這種情況下無需執行任何操作。
但是,通過只讀使用者目錄或單點登錄 (SSO) 同步到 Jira 服務的使用者不受影響。即使配置了 SSO,透過電子郵件與實例交互的外部客戶仍然容易受到攻擊。
對於用戶來說,將他們的安裝升級到最新版本以避免潛在威脅非常重要,因為最近幾個月 Atlassian 產品中的缺陷已成為一個有吸引力的攻擊媒介。兩個月前,該公司修復了其Bitbucket伺服器,數據中心和Crowd產品中的兩個關鍵安全漏洞,這些漏洞可能被用來獲得代碼執行和調用特權API端點。
這篇文章的來源包括 TheHackerNews上的一篇文章。
