【已復現】Atlassian Jira 多款產品Mobile Plugin服務端請求偽造漏洞安全風險通告

安全通告

近日，奇安信CERT監測到Atlassian Jira 多款產品 Mobile Plugin 服務端請求偽造漏洞PoC及細節在互聯網上公開，經過身份驗證的遠程攻擊者可通過Jira Core REST API偽造服務端發送特制請求，從而導致服務端敏感信息泄露，同時為下一步攻擊利用提供條件。鑒于此漏洞影響范圍較大，建議客戶盡快做好自查及防護。

目前，奇安信CERT已成功復現Atlassian Jira 多款產品 Mobile Plugin 服務端請求偽造漏洞(CVE-2022-26135)，截圖如下：

威脅評估

處置建議

1. 升級到最新版本:

Jira Core Server、Jira Software Server 和 Jira Software Data Center 可升級至：

• 8.13.22
• 8.20.10
• 8.22.4 
• 9.0.0

Jira Service Management Server 和Data Center可升級至：

• 4.13.22
• 4.20.10
• 4.22.4 
• 5.0.0

2. 緩解措施:

(1) 關閉用戶注冊功能

(2) 禁用Mobile Plugin

1、在應用程序的頂部導航欄中，選擇設置 -> 管理加載項或管理應用程序

2、找到Mobile Plugin for Jira Data Center and Server應用程序，然后選擇禁用即可。 

(3) 升級Mobile Plugin至最新版本

更多詳情請參見：

https://confluence.atlassian.com/jira/jira-server-security-advisory-29nd-june-2022-1142430667.html

產品解決方案

奇安信網站應用安全云防護系統已更新防護特征庫

奇安信網神網站應用安全云防護系統已全面支持對Jira多個產品服務端請求偽造漏洞(CVE-2022-26135)的防護。

奇安信天眼產品解決方案

奇安信天眼新一代威脅感知系統在第一時間加入了該漏洞的檢測規則，請將規則包升級到3.0.0706.13422上版本。規則名稱：Atlassian Jira多個產品服務端請求偽造漏洞(CVE-2022-26135)，規則ID：0x10020FC7。奇安信天眼流量探針（傳感器）升級方法：系統配置->設備升級->規則升級，選擇“網絡升級”或“本地升級”。

參考資料

[1]https://confluence.atlassian.com/jira/jira-server-security-advisory-29nd-june-2022-1142430667.html

時間線

2022年7月6日，奇安信 CERT發布安全風險通告。