Atlassian丢弃关键Jira身份验证绕过漏洞的修补程序

Atlassian发布了一条安全建议，警告其Jira软件中存在严重漏洞，未经验证的远程攻击者可能会滥用该漏洞来规避身份验证保护。

跟踪为CVE-2022-0540，该缺陷在CVSS评分系统中的评分为9.9分，位于Jira的认证框架Jira Seraph中。Viettel Cyber Security的Khoadha发现并报告了安全漏洞。

Atlassian指出：“未经身份验证的远程攻击者可以通过发送巧尽心思构建的HTTP请求，利用受影响的配置绕过WebWork操作中的身份验证和授权要求，利用此漏洞进行攻击”。

该缺陷影响以下Jira产品

• Jira核心服务器、Jira软件服务器和Jira软件数据中心：8.13.18、8.14之前的所有版本。x、 8.15.x、 8.16.x、 8.17.x、 8.18.x、 8.19.x、 8.20.8.20.6和8.21之前的x.x个
• Jira服务管理服务器和Jira服务管理数据中心：4.13.18、4.14之前的所有版本。x、 4.15。x、 4.16.x、 4.17.x、 4.18.x、 4.19.x、 4.20.4.20.6和4.21之前的x.x个

固定Jira和Jira服务管理版本分别为8.13.18、8.20.6和8.22.0以及4.13.18、4.20.6和4.22.0。

Atlassian还指出，该漏洞仅在第一方和第三方应用程序安装在上述Jira或Jira服务管理版本中且使用易受攻击的配置时，才会影响这些应用程序。

强烈建议用户更新到其中一个修补版本，以减少潜在的攻击企图。如果不能立即修补，该公司建议将受影响的应用程序更新到固定版本，或完全禁用。

值得注意的是，去年，Atlassian Confluence（CVE-2021-26084，CVSS分数：9.8）中的一个关键远程代码执行缺陷被积极地在野外武器化，以便在受损的服务器上安装加密货币矿工。