聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Atlassian 公司发布安全通告提醒称,Jira 软件中存在一个严重漏洞,可被远程未认证攻击者用于规避认证防护措施。

该漏洞的编号是CVE-2022-0540,CVSS 评分为9.9,位于 Jira 认证框架 Jira Seraph 中。Viettel 网络安全公司的研究员 Khoadha 发现并报告了该漏洞。

Atlassian 指出,“远程未认证攻击者可发送特殊构造的 HTTP 请求,绕过使用受影响配置的WebWork 操作中的认证和授权要求,利用该漏洞”

这些缺陷影响如下 Jira 产品:

  • Jira Core Server、Jira Software Server和Jira Software Data Center:所有早于8.13.18、8.14.x、8.15.x、8.16.x、8.17.x、8.18.x、8.19.x的版本,早于8.20.6的8.20.x版本以及 8.21.x 版本。

  • Jira Service Management Server和Jira Service Management Data Center:所有早于4.13.18、4.14.x、4.15.x、4.16.x、4.17.x、4.18.x、4.19.x,早于4.20.6的4.20.x 版本,以及4.21.x版本。

已修复的 Jira 和 Jira Service Management 版本是 8.13.18、8.20.6、8.22.0、4.13.18、4.20.6和 4.22.0。

Atlassian 同时表示,如果第一方和第三方应用安装在上述提到的 Jira 或 Jira Service Management 版本之一且使用易受攻击的配置,则这些应用也受影响。

强烈建议用户更新至任一已修复版本以缓解潜在的利用尝试。如无法立即打补丁则建议将受影响应用更新至已修复版本或立即禁用。

值得注意的是,Atlassian Confluence(CVE-2021-26084,CVSS 9.8)中存在一个严重的远程代码执行漏洞,去年已被用于在受陷服务器上安装密币矿机。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

Jira Server 和 Service Desk 修复多个严重漏洞

Jira Server 和 Data Center修复严重的模板注入漏洞

开源组件 Ehcache中被曝严重漏洞,影响多款Jira产品

原文链接

https://thehackernews.com/2022/04/atlassian-drops-patches-for-critical.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错,就点个 “在看” 或 "赞” 吧~

Atlassian 修复严重的 Jira 认证绕过漏洞相关推荐

  1. 速修复!Netgear交换机曝3个严重的认证绕过漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 昵称为 "Gynvael Coldwind" 的波兰安全研究员在网件中找到并报告了网件交换机中的三个严重漏洞 Demon's ...

  2. Bouncy Castle 加密库修复高危的认证绕过漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 最近,Bouncy Castle 加密库修复了一个高危的认证绕过漏洞. 该项目建立于2000年,表示 Java 和 C# 加密中使用的 ...

  3. 思科不打算修复SMB路由器中严重的认证绕过漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科SMB路由器中存在两个严重的漏洞(CVE-2023-20025和CVE-2023-20026),可导致未认证攻击者完全控制目标设备,以roo ...

  4. Nacos 1.4.1 紧急升级修复Alibaba Nacos 认证绕过漏洞

    使用背景 Nacos是Spring Cloud Alibaba的微服务的配置和发现的组件,目前暴露出安全漏洞,主要包括如下: 根据Nacos官方在github发布的issue,Alibaba Naco ...

  5. Apache Qpid 认证绕过漏洞

    漏洞名称: Apache Qpid 认证绕过漏洞 CNNVD编号: CNNVD-201303-222 发布时间: 2013-03-13 更新时间: 2013-03-13 危害等级:    漏洞类型: ...

  6. 【CNNVD-201303-018】D-Link DIR-645 Routers 认证绕过漏洞复现

    目录 0x00 漏洞概述 0x01 影响版本 0x02 漏洞评级 0x03 shodan搜索漏洞环境 0x04 漏洞验证 0x05 修复建议 0x00 漏洞概述 友讯科技股份有限公司(D-Link C ...

  7. 网络靶场实战--飞塔(Fortinet)防火墙认证绕过漏洞(CVE-2022-40684)

    本环境是蛇矛实验室基于"火天网演攻防演训靶场"进行搭建,通过火天网演中的环境构建模块,可以灵活的对目标网络进行设计和配置,并且可以快速进行场景搭建和复现验证工作. 背景 Forti ...

  8. libssh 认证绕过漏洞(cve-2018-10933)分析

    最近出了一个libSSH认证绕过漏洞,刚开始时候看的感觉这洞可能挺厉害的,然后很快github上面就有PoC了,msf上很快也添加了exp,但是在使用的过程中发现无法getshell,对此,我进行了深 ...

  9. Apache Shiro 身份认证绕过漏洞(CVE-2022-32532)漏洞复现

    Apache Shiro 身份认证绕过漏洞(CVE-2022-32532)漏洞复现 0x01 漏洞简介 Apache Shiro 是一个强大且易用的 Java 安全框架,通过它可以执行身份验证.授权. ...

最新文章

  1. Linux -- 利用IPS(***防御系统) 构建企业Web安全防护网
  2. Semi-sync master failed on net_flush() before wait
  3. vue代理配置(vue+django前后端分离项目)
  4. 一个超酷的横向多列响应式布局效果
  5. ARM中C语言和汇编语言的混合编程
  6. 利用jquery操作ajax,利用jquery对ajax操作,详解原理(附代码)
  7. html里meta标签,HTML中的meta标签详解
  8. 打不开网页但QQ能上网的解决办法
  9. 机器学习十大经典算法——线性回归
  10. Linux:shell变量功能和Bash shell的操作环境
  11. 面试题--------1、HashMap和HashTable的区别
  12. 快速排序中Partition算法总是从右边开始查找的原因
  13. LwIP协议栈源码说明
  14. 《数据挖掘:理论与算法》习题 + 期末考试+答案 + 2021年【完整/完结】
  15. C++中10的N次方如何表示
  16. 基于convLSTM模型的雷达图像外推算法
  17. svn取消文件夹图标_TortoiseSVN文件夹及文件图标不显示解决方案
  18. 初级会计最后一个月稳过秘籍
  19. uniapp 如何将输入值转成大写
  20. Postman如何使用(三):使用数据文件【入门到精通】

热门文章

  1. OpenJDK源码研究笔记(六)--观察者模式工具类(Observer和Observable)和应用示例
  2. 无core文件根据系统日志查找 程序core信息
  3. @SuppressWarnings(rawtypes)
  4. Windows2008管理---第12章 终端服务器
  5. Atlas与面向对象的Javascript
  6. Remoting压缩信道的编程配置方式
  7. centos7 svn自动更新至web目录
  8. 《iOS 6高级开发手册(第4版)》——2.5节秘诀:Quick Look预览控制器
  9. getCacheDir()和getFilesDir()方法区别
  10. Intent常用使用汇总