Atlassianは、同社の Jira および Jira Service Management 製品が、同社のウェブアプリケーションセキュリティフレームワークである Seraph の重要な認証バイパスの脆弱性の影響を受けることを説明するセキュリティアドバイザリを公開しました。
Jira および Jira Service Management には、Web 認証フレームワークである Jira Seraph における認証バイパスの脆弱性があります。
この脆弱性は Jira のコア部分にありますが、webwork1 アクション名前空間レベルで roles-required を指定し、アクションレベルでは指定しないファーストパーティおよびサードパーティアプリに影響があります。特定のアクションが影響を受けるためには、そのアクションは他の認証または認可のチェックを行わないことも必要です。
リモートの未認証の攻撃者は、特別に細工した HTTP リクエストを送信することで、影響を受ける設定を使用する WebWork アクションの認証および承認要件を回避し、これを悪用することができます。
Seraph は、Jira と Confluence ですべてのログインおよびログアウト要求を処理するために使用されています。
この脆弱性は、CVE-2022-0540として追跡され、深刻度は9.9とされています。
この脆弱性により、攻撃者は遠隔から脆弱なエンドポイントに特別に細工した HTTP リクエストを送信することで、認証をバイパスすることができます。
影響を受ける製品は、Jira Core Server、Software Data Center、Software Server、Service Management Server、Management Data Center です。具体的には、以下のバージョンに影響があります。
Jira Core Server、Software Server、Software Data Center の 8.13.18 以前、8.14.x、8.15.x、8.16.x、8.17.x、8.18.x、8.19.x、8.20.6 以前、8.21.x.、4.13.18 以前の Jira Service Management Server および Management Data Center、4.14.x, 4.15.x, 4.16.x, 4.17.x, 4.18.x, 4.19.x, 4.20.x (4.20.6 以前), 4.21.xです。
この脆弱性は、Jira および Jira Service Management のクラウド版には影響はありません。
アトラシアンは、リモート攻撃者が Seraph の特定の設定を使用した場合にのみ、影響する製品を侵害できると明記しています。
脆弱性のあるアプリ
CVE-2022-0540を悪用した場合の深刻度は、使用するアプリとSeraphの設定にあるものに加えて追加の権限チェックを使用しているかどうかによっても異なります。
この欠陥の影響を受けるバンドルアプリは、「Insight – Asset Management」とJira用の「Mobile Plugin」の2つです。
影響を受けるアプリの完全なリストについては、アトラシアンのアドバイザリーを確認してください。
Comments