关于Atlassian Jira身份验证绕过漏洞（CVE-2022-0540）的预警提示

发布时间：2022-04-29浏览次数：691

一、漏洞详情 JIRA是Atlassian公司推出的项目与事务跟踪软件，被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。 Atlassian发布安全公告，修复了Jira和JiraServiceManagement中的一个身份验证绕过漏洞（CVE-2022-0540）。 Jira和JiraServiceManagement在其web认证框架JiraSeraph中存在身份验证绕过漏洞，可在未经身份验证的情况下通过发送特制的HTTP请求，绕过使用受影响配置的WebWork操作中的认证和授权要求。 建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。 二、影响范围 Atlassian Jira： Jira < 8.13.18 Jira 8.14.x、8.15.x、8.16.x、8.17.x、8.18.x、8.19.x、8.21.x Jira 8.20.x < 8.20.6   Atlassian Jira Service Management： Jira Service Management < 4.13.18 Jira Service Management 4.14.x、4.15.x、4.16.x、4.17.x、4.18.x、4.19.x、4.21.x Jira Service Management 4.20.x < 4.20.6 三、修复建议 目前此漏洞已经修复，建议受影响用户及时升级更新到以下版本： Atlassian Jira版本： 8.13.x >= 8.13.18 8.20.x >= 8.20.6 其它所有版本 >= 8.22.0 下载链接：https://www.atlassian.com/software/jira/update   Atlassian Jira Service Management版本： 4.13.x >= 4.13.18 4.20.x >= 4.20.6 其它所有版本 >= 4.22.0 下载链接：https://www.atlassian.com/software/jira/service-management/update