一键攻击可能会让攻击者劫持任何Atlassian帐户

成功利用这些缺陷可能会导致供应链攻击，其中对手可以接管一个帐户，利用它代表受害者执行未经授权的操作，编辑合流页面，访问Jira票据，甚至注入恶意植入物，以进一步发动攻击。

这些弱点取决于Atlassian使用SSO来确保上述域之间的无缝导航，从而产生一种潜在的攻击场景，包括使用XSS和CSRF将恶意代码注入平台，然后利用会话固定漏洞劫持有效的用户会话并控制帐户。

换句话说，攻击者可以诱骗用户点击精心编制的Atlassian链接，以执行恶意负载，窃取用户的会话，然后恶意参与者可以使用该会话登录到受害者的帐户并获取敏感信息。

此外，借助Jira帐户，攻击者可以通过打开一个嵌入恶意链接的Jira票证来获得对Bitbucket帐户的控制，该票证指向一个恶意网站，当从自动生成的电子邮件中单击该网站时，可用于窃取凭据，有效地授予他们访问或修改源代码的权限，公开存储库，甚至插入后门。

Check Point产品漏洞研究负责人奥德·瓦努努（Oded Vanunuu）说：“自太阳林事件以来，供应链攻击一直在激发我们的兴趣。Atlassian平台是一个组织工作流程的核心。”。“大量的供应链信息流经这些应用程序，以及工程和项目管理。”

“在一个分布式劳动力越来越依赖远程技术的世界里，确保这些技术对恶意数据提取有最好的防御是至关重要的，”瓦努努补充道。