Jira Service Management Server and Data Center 身份验证漏洞

漏洞描述

Jira Service Management Server and Data Center 面向所有团队的服务管理解决方案，涵盖了跨服务请求、事件、问题、变更、知识、资产和配置管理等方面的工作。

该项目受影响版本存在身份验证漏洞，在 Jira Service Management 实例上一旦启用对用户目录和传出电子邮件的写入权限，攻击者则可以获取到发送给从未登录过的客户的注册令牌（在Jira Service Management中客户有外部客户和内部客户）。 如果攻击者被包含在这些客户的issues 或者requests当中 ，或者攻击者通过转发及其他方式获取了这些客户的View Request的访问权限，那么攻击者可以冒充其他用户并获得Jira Service Management实例的访问权限。

例如在单点登录的实例当中，外部客户将会受到影响，因为项目内的任何一个人都可以创造外部客户的账户。

漏洞名称	Jira Service Management Server and Data Center 身份验证漏洞
漏洞类型	权限、特权和访问控制
发现时间	2023-02-02
漏洞影响广度	小
MPS编号	MPS-2023-0002
CVE编号	CVE-2023-22501
CNVD编号	-

影响范围

Jira Service Management@[5.3.0, 5.3.3)

Jira Service Management@[5.4.0, 5.4.2)

Jira Service Management@[5.5.0, 5.5.1)

修复方案

升级Jira Service Management 到 5.3.3、 5.4.2、5.5.1或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2023-0002

https://nvd.nist.gov/vuln/detail/CVE-2023-22501

https://jira.atlassian.com/browse/JSDSERVER-12312

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc