最后更新于2023年2月7日星期二20:32:22 GMT
紧急威胁发展迅速, 随着我们对这个漏洞的了解越来越多, 这篇博文将继续发展, too.
2023年2月1日,Atlassian发布了一份报告 advisory for CVE-2023-22501, 一个严重的身份验证漏洞,影响其Jira服务管理服务器和数据中心产品. Jira服务管理服务器和Jira服务管理数据中心 run on top 并提供额外的功能.
According to Atlassian’s advisory, 该漏洞“允许攻击者冒充其他用户,并在某些情况下获得对Jira服务管理实例的访问权. 在Jira Service Management实例上启用了对用户目录和外发电子邮件的写访问, 攻击者可以访问发送给从未登录过帐户的用户的注册令牌. 可以在两种情况下获得对这些令牌的访问:
- 如果攻击者包含在Jira问题或这些用户的请求中,或者
- 如果攻击者被转发或以其他方式获得包含这些用户的“查看请求”链接的电子邮件的访问权限.
Bot帐户特别容易受到这种情况的影响. 在使用单点登录的实例上, 在任何人都可以创建自己的帐户的项目中,外部客户帐户可能会受到影响.”
截至2023年2月6日,该漏洞尚未在野外被利用. 鉴于过去两年Atlassian产品在攻击者中很受欢迎,我们警告客户不要过于谨慎.
Affected Products
以下版本的Jira服务管理服务器和数据中心存在CVE-2023-22501漏洞:
- 5.3.0
- 5.3.1
- 5.3.2
- 5.4.0
- 5.4.1
- 5.5.0
Atlassian Cloud站点(Jira站点) atlassian.net domain) are not affected.
Mitigation guidance
Jira Service Management Server和数据中心用户应尽快更新到固定版本的软件并进行监控 Atlassian’s advisory for further information. 无法立即升级Jira Service Management的Atlassian客户可以手动升级特定于版本的servicedesk-variable-substitution-plugin JAR文件作为临时解决方案.
Rapid7 customers
2月6日发布了针对CVE-2023-22501的远程(未经身份验证)检查, 2023 InsightVM和expose内容发布(内容版本 1.1.2774
).
Updates
- 2023年2月7日20:30 UTC:更新
Rapid7 customers
section