身份验证绕过漏洞警报 - Atlassian Jira(CVE-2022-0540)
发布于 2022年4月20日 | 分类:服务与系统应用
概述
在Atlassian Jira中发现了一个身份验证绕过漏洞。该漏洞可在默认配置下被利用,已被评定为"极高"严重级别。
详细说明
2022年4月20日星期三,Atlassian发布安全公告称Jira的Web身份验证框架Jira Seraph存在身份验证绕过漏洞。目前厂商尚未公布具体的易受攻击端点信息,也未提供可能表明系统已被利用的入侵指标。攻击者很可能会通过对比修复版本与存在漏洞版本的应用程序二进制文件差异,快速开发出攻击方法。本文将在获得新信息时及时更新。
Atlassian目前建议客户安装最新版本的Jira Core Server、Jira Software Server和Jira Software Data Center。如果无法立即更新,建议先安装受影响插件的更新程序(详见安全公告),若无法获取更新则需禁用这些插件。
该漏洞已被分配编号CVE-2022-0540。厂商目前已提供补丁程序。
相关信息
- 受影响产品:Jira
- 厂商:Atlassian
- 严重等级:极高
如需反馈(是否同意/不同意发送此通知)或有问题需要咨询,请在下方链接的讨论帖中留言。本通知的发送成本约为50美元。若希望支持本项目,可通过此处了解更多信息。