Jira Service Management Server and Data Center 身份验证漏洞

来源: 投稿
2023-02-02 18:47:00

漏洞描述

Jira Service Management Server and Data Center 面向所有团队的服务管理解决方案,涵盖了跨服务请求、事件、问题、变更、知识、资产和配置管理等方面的工作。

该项目受影响版本存在身份验证漏洞,在 Jira Service Management 实例上一旦启用对用户目录和传出电子邮件的写入权限,攻击者则可以获取到发送给从未登录过的客户的注册令牌(在Jira Service Management中客户有外部客户和内部客户)。 如果攻击者被包含在这些客户的issues 或者requests当中 ,或者攻击者通过转发及其他方式获取了这些客户的View Request的访问权限,那么攻击者可以冒充其他用户并获得Jira Service Management实例的访问权限。

例如在单点登录的实例当中,外部客户将会受到影响,因为项目内的任何一个人都可以创造外部客户的账户。

漏洞名称 Jira Service Management Server and Data Center 身份验证漏洞
漏洞类型 权限、特权和访问控制
发现时间 2023-02-02
漏洞影响广度
MPS编号 MPS-2023-0002
CVE编号 CVE-2023-22501
CNVD编号 -

影响范围

Jira Service Management@[5.3.0, 5.3.3)

Jira Service Management@[5.4.0, 5.4.2)

Jira Service Management@[5.5.0, 5.5.1)

修复方案

升级Jira Service Management 到 5.3.3、 5.4.2、5.5.1或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2023-0002

https://nvd.nist.gov/vuln/detail/CVE-2023-22501

https://jira.atlassian.com/browse/JSDSERVER-12312

    

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具: https://www.murphysec.com/?src=osc

免费情报订阅: https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

展开阅读全文
点击引领话题📣 发布并加入讨论🔥
0 评论
0 收藏
分享
返回顶部
顶部