漏洞描述

2022 年 05 月 12 日， 监测到一则 Atlassian 发布的安全公告， 修复了 Jira 和 Jira Service Management 中的一个身份验证绕过漏洞（CVE-2022-0540） 。

Jira 是 Atlassian 公司推出的项目与事务跟踪软件， 被广泛应用于缺陷跟踪、 客户服务、需求收集、 流程审批、 任务跟踪、 项目跟踪和敏捷管理等工作领域。

Jira 和 Jira Service Management 在其 web 认证框架 Jira Seraph 中存在身份验证绕过漏洞， 可在未经身份验证的情况下通过发送特制的 HTTP 请求， 绕过使用受影响配置的WebWork 操作中的认证和授权要求。

漏洞编号

CVE-2022-0540

漏洞危害

未经身份验证的远程攻击者可发送特制的 HTTP 请求利用该漏洞， 实现身份认证绕过。

漏洞等级

高危

受影响版本

Atlassian Jira：

Jira < 8.13.18

Jira 8.14.x、 8.15.x、 8.16.x、 8.17.x、 8.18.x、 8.19.x、 8.21.x

Jira 8.20.x < 8.20.6

Atlassian Jira Service Management：

Jira Service Management < 4.13.18

Jira Service Management 4.14.x、 4.15.x、 4.16.x、 4.17.x、 4.18.x、 4.19.x、 4.21.x

Jira Service Management 4.20.x < 4.20.6

修复方案

目前此漏洞已经修复， 建议受影响用户及时升级更新到以下版本：

Atlassian Jira 版本：

8.13.x >= 8.13.18

8.20.x >= 8.20.6

其它所有版本 >= 8.22.0

Atlassian Jira Service Management 版本：

4.13.x >= 4.13.18

4.20.x >= 4.20.6

其它所有版本 >= 4.22.0