远程主机上运行的 Atlassian Jira Server 版本受到公告 JRASERVER-73897 中所述漏洞的影响。

  - 多个 Atlassian 产品存在漏洞，未经身份验证的远程攻击者可利用此漏洞绕过第一方和第三方应用程序使用的 Servlet 过滤器。其影响取决于每个应用程序使用的过滤器及其使用方式。此漏洞可导致身份验证绕过和跨站脚本攻击。
    Atlassian 已发布可修复此漏洞根本原因的更新，但并未详尽列出此漏洞的所有潜在后果。受影响的 Atlassian Bamboo 版本包括 8.0.9 之前版本、8.1.0 至 8.1.8 以及 8.2.0 至 8.2.4 版。受影响的 Atlassian Bitbucket 版本包括 7.6.16 之前版本、7.7.0 至 7.17.8、7.18.0 只 7.19.5、7.20.0 至 7.20.2、7.21.0 至 7.21.2 以及 8.0.0 和 8.1.0 版。受影响的 Atlassian Confluence 版本包括 7.4.17 之前版本、7.5.0 至 7.13.7、7.14.0 只 7.14.3、7.15.0 至 7.15.2、7.16.0 至 7.16.4、7.17.0 至 7.17.4 和 7.21.0 版。受影响的 Atlassian Crowd 版本包括 4.3.8 之前版本、4.4.0 至 4.4.2 以及 5.0.0 版。4.8.10 之前的 Atlassian Fisheye 和 Crucible 版本受到影响。
    受影响的 Atlassian Jira 版本包括 8.13.22 之前版本、8.14.0 至 8.20.10 以及 8.21.0 至 8.22.4 版。受影响的 Atlassian Jira Service Management 版本包括 4.13.22 之前版本、4.14.0 至 4.20.10 以及 4.21.0 至 4.22.4 版。(CVE-2022-26136)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

检测

Atlassian Jira < 8.13.22 / 8.20.x < 8.20.10 / 8.22.x < 8.22.4 / 9.0.0 XSS (JRASERVER-73897)

critical Nessus 插件 ID 163432

版本 1.4