SaaS 大廠 Atlassian 日前發表資安通報,指出旗下產品 Jira Service Management Server and Data Center 遭發現一個嚴重漏洞 CVE-2023-22501;該漏洞在某些情形下,可導致未授權駭侵者假冒其他用戶登入,並取得遠端連線能力以存取系統。
Atlassian 在資安通報中指出,在對用戶目錄的寫入權限與外送 Email 都為啟用狀況下,Jira Service Management 實例可能會遭到攻擊者使用從未登入的帳號,以傳送給用戶的註冊 token 取得系統存取權限,而駭侵者可以透過兩種方式輕易取得該註冊用 token。
該 CVE-2023-22501 漏洞據 Atlassian 自行評估,其 CVSS 危險程度評分高達 9.4 分(滿分為 10 分),其危險程度評級也高居最危險等級的「Critical」。
Atlassian 指出,這個漏洞所影響的 Jira Service Management Server 和 Data Center 版本為 5.3.0、5.3.1、5.3.2、5.4.0、5.4.1、5.5.0 等。Atlassian 已推出 5.3.3、5.4.2、5.5.1 和 5.6.0 等,將此漏洞修補完成;如果無法立即升級版本,Atlassian 也備有對應各版本的專屬修補軟體,以做為對應該漏洞的暫時解決方案。
Atlassian 指出,即使用戶的 Jira Service Management Server and Data Center 係布署於不直接連通外網的防火牆內,或透過單一登入 (SSO) 存取外部用戶目錄者,也應立即套用更新。
- CVE 編號:CVE-2023-22501
- 影響產品資訊:Jira Service Management Server 和 Data Center 版本 5.3.0、5.3.1、5.3.2、5.4.0、5.4.1、5.5.0。
- 解決方案或建議措施:
- 升級至 5.3.3、5.4.2、5.5.1 和 5.6.0 等版本。
- 無法立即升級版本時,可至 Atlassian 下載安裝對應各版本的專屬修補軟體,以做為對應該漏洞的暫時解決方案。
- 參考連結
Jira Service Management Server and Data Center Advisory (CVE-2023-22501)
Atlassian warns of critical Jira Service Management auth flaw
留言列表
資安宣導 (2)
