https://www.informationsecurity.com.tw/Seminar/2024_TCM/
https://www.informationsecurity.com.tw/Seminar/2024_TCM/

新聞

Atlassian 發布 Jira 嚴重漏洞 CVE-2023-22501,並推出修補與暫時解決方案

2023 / 02 / 06
編輯部
Atlassian 發布 Jira 嚴重漏洞 CVE-2023-22501,並推出修補與暫時解決方案
SaaS 大廠 Atlassian 日前發表資安通報,指出旗下產品 Jira Service Management Server and Data Center 遭發現一個嚴重漏洞 CVE-2023-22501;該漏洞在某些情形下,可導致未授權駭侵者假冒其他用戶登入,並取得遠端連線能力以存取系統。

Atlassian 在資安通報中指出,在對用戶目錄的寫入權限與外送 Email 都為啟用狀況下,Jira Service Management 實例可能會遭到攻擊者使用從未登入的帳號,以傳送給用戶的註冊 token 取得系統存取權限,而駭侵者可以透過兩種方式輕易取得該註冊用 token。

該 CVE-2023-22501 漏洞據 Atlassian 自行評估,其 CVSS 危險程度評分高達 9.4 分(滿分為 10 分),其危險程度評級也高居最危險等級的「Critical」。

Atlassian 指出,這個漏洞所影響的 Jira Service Management Server 和 Data Center 版本為 5.3.0、5.3.1、5.3.2、5.4.0、5.4.1、5.5.0 等。Atlassian 已推出 5.3.3、5.4.2、5.5.1 和 5.6.0 等,將此漏洞修補完成;如果無法立即升級版本,Atlassian 也備有對應各版本的專屬修補軟體,以做為對應該漏洞的暫時解決方案。

Atlassian 指出,即使用戶的 Jira Service Management Server and Data Center 係布署於不直接連通外網的防火牆內,或透過單一登入 (SSO) 存取外部用戶目錄者,也應立即套用更新。
  • CVE 編號:CVE-2023-22501
  • 影響產品資訊:Jira Service Management Server 和 Data Center 版本 5.3.0、5.3.1、5.3.2、5.4.0、5.4.1、5.5.0。
  • 解決方案:升級至 5.3.3、5.4.2、5.5.1 和 5.6.0 等版本。無法立即升級版本時,可至 Atlassian 下載安裝對應各版本的專屬修補軟體,以做為對應該漏洞的暫時解決方案。
本文轉載自TWCERT/CC。