Jira Seraph 中的身份验证绕过漏洞(CVE-2022-0540)

简介: Jira Seraph 中的身份验证绕过漏洞(CVE-2022-0540)

CVE-2022-0540漏洞会导致Jira和Jira Service Management允许未经身份验证的远程攻击者通过发送特制的 HTTP 请求来绕过身份验证,官方已经发布安全版本,建议用户升级到安全版本。

——受影响版本:


Jira 版本


8.13.18 之前的所有版本、8.14.x、8.15.x、8.16.x、8.17.x、8.18.x、8.19.x、8.20.x 之前的 8.20.6、8.21.x


Jira Service Management 版本

All versions before 4.13.18、4.14.x、4.15.x、4.16.x、4.17.x、4.18.x、4.19.x、4.20.x before 4.20.6、4.21.x

——安全版本:


Jira 版本


8.13.x >= 8.13.18、8.20.x >= 8.20.6、All versions >= 8.22.0


Jira Service Management


4.13.x >= 4.13.18、4.20.x >= 4.20.6、All versions >= 4.22.0

编号      CVE-2022-0540
标题 Jira Seraph 中的身份验证绕过漏洞
描述 Jira 是Atlassian公司出品的一个工作流管理系统。 Jira 和 Jira Service Management 容易受到其 Web 身份验证框架 Jira Seraph 中的身份验证绕过的攻击。允许未经身份验证的远程攻击者通过发送特制的 HTTP 请求来绕过身份验证。
漏洞级别 高危
影响组件 Jira Core Server、Jira Software Server、Jira Software Data Center、Jira Service Management Server、Jira Service Management Data Center
影响范围 一般

参考链接:

https://confluence.atlassian.com/jira/jira-security-advisory-2022-04-20-1115127899.html

https://nvd.nist.gov/vuln/detail/CVE-2022-0540


【使用墨菲安全的开源工具帮您快速检测代码安全】


墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析(SCA)等,丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。产品支持SaaS、私有化部署。公司核心团队来自百度、华为等企业,拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。

开源地址:https://github.com/murphysecurity/murphysec

产品官网:https://murphysec.com


IDE插件:欢迎在Jetbrains IDE插件市场搜索 “murphysec” 安装检测插件,一键检测一键修复~


【关于墨菲安全实验室】


墨菲安全实验室是墨菲未来科技旗下的安全研究团队,专注于软件供应链安全相关领域的技术研究,关注的方向包括:开源软件安全、程序分析、威胁情报分析、企业安全治理等。

相关文章
|
安全 数据挖掘
CVE-2021-41277——Metabase 信息泄露漏洞
CVE-2021-41277——Metabase 信息泄露漏洞
642 0
CVE-2021-41277——Metabase 信息泄露漏洞
|
存储 监控 安全
Zabbix登录绕过漏洞复现(CVE-2022-23131)
最近在复现zabbix的漏洞(CVE-2022-23131),偶然间拿到了国外某公司zabbix服务器。Zabbix Sia Zabbix是拉脱维亚Zabbix SIA(Zabbix Sia)公司的一套开源的监控系统。该系统支持网络监控、服务器监控、云监控和应用监控等。Zabbix Frontend 存在安全漏洞,该漏洞源于在启用 SAML SSO 身份验证(非默认)的情况下,恶意行为者可以修改会话数据,因为存储在会话中的用户登录未经过验证。 未经身份验证的恶意攻击者可能会利用此问题来提升权限并获得对 Zabbix 前端的管理员访问权限。
1813 0
Zabbix登录绕过漏洞复现(CVE-2022-23131)
ly~
|
1月前
|
安全 生物认证 数据库
有哪些常见的身份验证错误和漏洞?
本文介绍了常见的网络安全问题,包括弱密码、密码重用、身份验证流程缺陷、会话管理问题和社会工程学攻击。具体涉及简单密码易被破解、多平台使用同一密码、缺乏多因素认证、身份验证绕过、会话劫持与固定、钓鱼攻击和伪装攻击等。这些问题可能导致用户信息泄露和系统安全风险。
ly~
83 5
|
6月前
|
存储 安全 前端开发
WordPress未经身份验证的远程代码执行CVE-2024-25600漏洞分析
WordPress未经身份验证的远程代码执行CVE-2024-25600漏洞分析
243 0
|
6月前
|
安全 Java 网络架构
CVE-2024-27198可RCE身份验证绕过JetBrains TeamCity
CVE-2024-27198可RCE身份验证绕过JetBrains TeamCity
111 0
|
安全 API 数据库
Joomla未授权访问漏洞(CVE-2023-23752)
Joomla是一套全球知名的内容管理系统(CMS),其使用PHP语言加上MySQL数据库所开发,可以在Linux、Windows、MacOSX等各种不同的平台上运行。
383 1
|
Web App开发 安全 数据安全/隐私保护
JumpServer未授权访问漏洞(CVE-2023-42442)
JumpServer的权限管理存在缺陷,未经授权的远程攻击者可以下载历史会话连接期间的所有操作日志,可导致敏感信息泄漏。
373 1
|
安全 关系型数据库 MySQL
Joomla 未授权访问漏洞 CVE-2023-23752
Joomla是一套全球知名的内容管理系统(CMS),其使用PHP语言加上MySQL数据库所开发,可以在Linux、Windows、MacOSX等各种不同的平台上运行。 2月16日,Joomla官方发布安全公告,修复了Joomla! CMS中的一个未授权访问漏洞(CVE-2023-23752),目前该漏洞的细节及PoC/EXP已公开。 Joomla! CMS 版本4.0.0 - 4.2.7中由于对web 服务端点访问限制不当,可能导致未授权访问Rest API,造成敏感信息泄露(如数据库账号密码等)。
219 0
Joomla 未授权访问漏洞 CVE-2023-23752
|
安全 Java API
Shiro 身份认证绕过漏洞 CVE-2022-32532
Apache Shiro 是一个强大且易用的 Java 安全框架,通过它可以执行身份验证、授权、密码和会话管理。使用 Shiro 的易用 API,您可以快速、轻松地保护任何应用程序 —— 从最小的移动应用程序到最大的 WEB 和企业应用程序。
458 0
Shiro 身份认证绕过漏洞 CVE-2022-32532
|
安全 网络安全
FortiOS+FortiProxy+FortiSwitchManager 身份验证绕过(CVE-2022-40684)
FortiOS+FortiProxy+FortiSwitchManager 身份验证绕过(CVE-2022-40684)
368 0