Atlassian透露已修复其服务管理服务器和数据中心产品中的一个主要缺陷。该漏洞被跟踪为CVE-2023-22501,允许威胁行为者冒充(在新标签页中打开)人并在某些情况下获得对JiraServiceManagement实例的访问权限。它的严重性评分为9.4,使其成为严重缺陷。

Atlassian修补严重的Jira身份验证漏洞

“通过在JiraServiceManagement实例上启用对用户目录和传出电子邮件的写访问权限,攻击者可以访问发送给用户的注册令牌,这些用户的帐户从未登录过,”Atlassian在其漏洞描述中指出.

“机器人账户特别容易受到这种情况的影响,”Atlassian进一步解释道。“在单点登录的情况下,任何人都可以创建自己的帐户的项目中的外部客户帐户可能会受到影响。”

这些是易受该缺陷影响的Jira版本:5.3.0;5.3.1;5.3.2;5.4.0;5.4.1和5.5.0。为了安全起见,请确保将您的Jira升级到5.3.3版本;5.4.2;5.5.1或5.6.0。

Atlassian产品似乎是网络犯罪分子的热门目标。去年10月,美国网络安全和基础设施局(CISA)指出,两个广泛使用的AtlassianBitbucket工具(Server和DataCenter)中存在一个严重漏洞,该漏洞正在被积极利用。

在此之前,在7月,据报道Jira、Confluence和Bamboo容易受到CVE-2022-26136的攻击,这是一种任意Servlet过滤器绕过,允许威胁参与者绕过第三方应用程序用于身份验证的自定义Servlet过滤器。该缺陷被认为是高严重性的。