Atlassian Jira < 8.13.22 / 8.20.x < 8.20.10 / 8.22.x < 8.22.4 / 9.0.0 XSS (JRASERVER-73897)

critical Nessus 插件 ID 163432

简介

远程 Atlassian Jira 主机缺少安全更新。

描述

远程主机上运行的 Atlassian Jira Server 版本受到公告 JRASERVER-73897 中所述漏洞的影响。

- 多个 Atlassian 产品存在漏洞,未经身份验证的远程攻击者可利用此漏洞绕过第一方和第三方应用程序使用的 Servlet 过滤器。其影响取决于每个应用程序使用的过滤器及其使用方式。此漏洞可导致身份验证绕过和跨站脚本攻击。
Atlassian 已发布可修复此漏洞根本原因的更新,但并未详尽列出此漏洞的所有潜在后果。受影响的 Atlassian Bamboo 版本包括 8.0.9 之前版本、8.1.0 至 8.1.8 以及 8.2.0 至 8.2.4 版。受影响的 Atlassian Bitbucket 版本包括 7.6.16 之前版本、7.7.0 至 7.17.8、7.18.0 只 7.19.5、7.20.0 至 7.20.2、7.21.0 至 7.21.2 以及 8.0.0 和 8.1.0 版。受影响的 Atlassian Confluence 版本包括 7.4.17 之前版本、7.5.0 至 7.13.7、7.14.0 只 7.14.3、7.15.0 至 7.15.2、7.16.0 至 7.16.4、7.17.0 至 7.17.4 和 7.21.0 版。受影响的 Atlassian Crowd 版本包括 4.3.8 之前版本、4.4.0 至 4.4.2 以及 5.0.0 版。4.8.10 之前的 Atlassian Fisheye 和 Crucible 版本受到影响。
受影响的 Atlassian Jira 版本包括 8.13.22 之前版本、8.14.0 至 8.20.10 以及 8.21.0 至 8.22.4 版。受影响的 Atlassian Jira Service Management 版本包括 4.13.22 之前版本、4.14.0 至 4.20.10 以及 4.21.0 至 4.22.4 版。(CVE-2022-26136)

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级到 Atlassian Jira 8.13.22、8.20.10、8.22.4、9.0.0 或更高版本。

另见

https://jira.atlassian.com/browse/JRASERVER-73897

插件详情

严重性: Critical

ID: 163432

文件名: jira_9_0_0_jraserver-73897.nasl

版本: 1.4

类型: combined

代理: windows, macosx, unix

发布时间: 2022/7/24

最近更新时间: 2022/12/8

配置: 启用全面检查

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2022-26136

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:atlassian:jira

必需的 KB 项: installed_sw/Atlassian JIRA

易利用性: No known exploits are available

补丁发布日期: 2022/6/9

漏洞发布日期: 2022/7/20

参考资料信息

CVE: CVE-2022-26136