漏洞描述
Jira Service Management Server and Data Center 面向所有团队的服务管理解决方案,涵盖了跨服务请求、事件、问题、变更、知识、资产和配置管理等方面的工作。
该项目受影响版本存在身份验证漏洞,在 Jira Service Management 实例上一旦启用对用户目录和传出电子邮件的写入权限,攻击者则可以获取到发送给从未登录过的客户的注册令牌(在Jira Service Management中客户有外部客户和内部客户)。 如果攻击者被包含在这些客户的issues 或者requests当中 ,或者攻击者通过转发及其他方式获取了这些客户的View Request的访问权限,那么攻击者可以冒充其他用户并获得Jira Service Management实例的访问权限。
例如在单点登录的实例当中,外部客户将会受到影响,因为项目内的任何一个人都可以创造外部客户的账户。
| 漏洞名称 |
Jira Service Management Server and Data Center 身份验证漏洞 |
| 漏洞类型 |
权限、特权和访问控制 |
| 发现时间 |
2023-02-02 |
| 漏洞影响广度 |
小 |
| MPS编号 |
MPS-2023-0002 |
| CVE编号 |
CVE-2023-22501 |
| CNVD编号 |
- |
影响范围
Jira Service Management@[5.3.0, 5.3.3)
Jira Service Management@[5.4.0, 5.4.2)
Jira Service Management@[5.5.0, 5.5.1)
修复方案
升级Jira Service Management 到 5.3.3、 5.4.2、5.5.1或更高版本
参考链接
https://www.oscs1024.com/hd/MPS-2023-0002
https://nvd.nist.gov/vuln/detail/CVE-2023-22501
https://jira.atlassian.com/browse/JSDSERVER-12312
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
![]()
