CVE-2022-0540漏洞会导致Jira和Jira Service Management允许未经身份验证的远程攻击者通过发送特制的 HTTP 请求来绕过身份验证,官方已经发布安全版本,建议用户升级到安全版本。
——受影响版本:
Jira 版本
8.13.18 之前的所有版本、8.14.x、8.15.x、8.16.x、8.17.x、8.18.x、8.19.x、8.20.x 之前的 8.20.6、8.21.x
Jira Service Management 版本
All versions before 4.13.18、4.14.x、4.15.x、4.16.x、4.17.x、4.18.x、4.19.x、4.20.x before 4.20.6、4.21.x
——安全版本:
Jira 版本
8.13.x >= 8.13.18、8.20.x >= 8.20.6、All versions >= 8.22.0
Jira Service Management
4.13.x >= 4.13.18、4.20.x >= 4.20.6、All versions >= 4.22.0
编号 | CVE-2022-0540 |
标题 | Jira Seraph 中的身份验证绕过漏洞 |
描述 | Jira 是Atlassian公司出品的一个工作流管理系统。 Jira 和 Jira Service Management 容易受到其 Web 身份验证框架 Jira Seraph 中的身份验证绕过的攻击。允许未经身份验证的远程攻击者通过发送特制的 HTTP 请求来绕过身份验证。 |
漏洞级别 | 高危 |
影响组件 | Jira Core Server、Jira Software Server、Jira Software Data Center、Jira Service Management Server、Jira Service Management Data Center |
影响范围 | 一般 |
参考链接:
https://confluence.atlassian.com/jira/jira-security-advisory-2022-04-20-1115127899.html
https://nvd.nist.gov/vuln/detail/CVE-2022-0540
【使用墨菲安全的开源工具帮您快速检测代码安全】
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析(SCA)等,丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。产品支持SaaS、私有化部署。公司核心团队来自百度、华为等企业,拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。
开源地址:https://github.com/murphysecurity/murphysec
IDE插件:欢迎在Jetbrains IDE插件市场搜索 “murphysec” 安装检测插件,一键检测一键修复~
【关于墨菲安全实验室】
墨菲安全实验室是墨菲未来科技旗下的安全研究团队,专注于软件供应链安全相关领域的技术研究,关注的方向包括:开源软件安全、程序分析、威胁情报分析、企业安全治理等。