Atlassian修補Jira元件重大安全漏洞

好不容易修復Jira與Confluence等雲端服務，Atlassian本周又發出安全公告，修補Jira元件一個重大的驗證繞過漏洞。

這項編號CVE-2022-0540的漏洞為Jira及Jira Service Management的Web驗證框架Seraph內的驗證繞過漏洞，可讓未獲授權的攻擊者傳送惡意HTTP呼叫繞過外掛模組WebWork action的驗證以執行指令。Atlassian將本漏洞嚴重等級列為重大（critical）。

這項漏洞影響本地部署的Jira產品包括Jira Core Server、Jira Software Server及Jira Software Data Center（8.13.18以前、8.14.x到8.20.6及8.21.x版）；Jira Service Management Versions（4.13.18以前、4.14.x到4.20.6及4.21.x版）。

值得注意的是，這項漏洞雖位於Jira核心，實則影響2個App，開採條件是這些App的組態不當，包括Webwork1 action namespace level指定roles-required、在action level卻未指定，同時該Webwork1 action沒有做其他驗證。

受影響的App包括Insight – Asset Management，包括Atlassian Marketplace 下載的8.10.0以前版本，及Jira Service Management Server 和 Data Center 4.15.0（以後版本）搭載的版本。另一個是Mobile Plugin for Jira，搭載於Jira Server、Jira Software Server、Data Center 8.0.0（版本以後）及Jira Service Management Server、Data Center 4.0.0（以後版本）。

不過Atlassian指出，Jira Cloud及Jira Serve Management Cloud都不受影響。

Atlassian已釋出最新版Jira及Jira Service Management，呼籲用戶儘速更新到最新版本。

上周Atlassian才在2星期的搶修下，使本月初斷線的網站恢復上線。受影響的雲端服務涵括Jira Software、Confluence、Bitbucket、Trello雲端版等出現網站停機情況。上周Atlassian說明原因並非網路攻擊，而是兩個維護團隊溝通不良及使用的操作指令錯誤，導致近400網站資料被刪。根據該公司網站 ，除Atlassian Develops服務及狀態頁外，其他對用戶服務大都恢復正常。