关于Atlassian Jira 服务端请求伪造漏洞(CVE-2022-26135)的安全告知
时间:2022-07-07 18:06:20来源:信息安全服务部作者:开yun体育官网入口
Atlassian Jira 是一个项目管理和开发工具,能够对工作中各类问题、缺陷进行跟踪管理。
漏洞详情
近日,Atlassian Jira 服务端请求伪造漏洞PoC及细节在互联网上公开,多款产品 Mobile Plugin中存在服务端请求伪造漏洞(CVE-2022-26135),该漏洞是由于 Mobile Plugin for Jira 组件存在一个服务端请求伪造问题,经过身份验证的远程攻击者可通过 Jira Core REST API 伪造服务端发送特制请求,从而导致服务端敏感信息泄露。
影响范围
8.0 8.14.0 8.21.0 4.0 4.14.0 4.21.0 修复建议 当前官方已发布最新版本,及时更新升级到最新版本。链接如下: https://confluence.atlassian.com/jira/jira-server-security-advisory-29nd-june-2022-1142430667.html 参考链接 https://nvd.nist.gov/vuln/detail/CVE-2022-26135