Atlassian Jira Seraph 身份验证绕过漏洞（CVE-2022-0540）

2022-04-21

一、概要

近日，华为云关注到Atlassian官方发布安全公告，披露Atlassian Jira Seraph 存在身份验证绕过漏洞（CVE-2022-0540），未经身份验证的远程攻击者可发送特制的 HTTP 请求利用该漏洞，实现身份认证绕过。

Jira是一个缺陷跟踪管理系统，为针对缺陷管理、任务追踪和项目管理的商业性应用软件。Jira Seraph是Jira 和 Jira Service Management 在 Web 身份验证的框架。华为云提醒使用Jira的用户及时安排自检并做好安全加固。

参考链接：

https://jira.atlassian.com/browse/JRASERVER-73650

https://jira.atlassian.com/browse/JSDSERVER-11224

https://confluence.atlassian.com/jira/jira-security-advisory-2022-04-20-1115127899.html

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

受影响的Jira版本：

Jira < 8.13.18

Jira 8.14.x、8.15.x、8.16.x、8.17.x、8.18.x、8.19.x

Jira 8.20.x < 8.20.6

Jira 8.21.x

受影响的Jira Service Management版本：

Jira Service Management < 4.13.18

Jira Service Management 4.14.x、4.15.x、4.16.x、4.17.x、4.18.x、4.19.x

Jira Service Management 4.20.x < 4.20.6

Jira Service Management 4.21.x

安全版本：

Jira 8.13.x >= 8.13.18

Jira 8.20.x >= 8.20.6

Jira >= 8.22.0

Jira Service Management 4.13.x >= 4.13.18

Jira Service Management 4.20.x >= 4.20.6

Jira Service Management >= 4.22.0

四、安全建议

目前官方已在高版本中修复了该漏洞，请受影响的用户升级至安全版本：

Jira Core、 Jira Software 、Jira Service Management

若无法及时升级的用户可根据Atlassian官方提供的建议进行缓解，详见参考链接Jira Security Advisory 2022-04-20中“Workarounds”章节内容。

注：修复漏洞前请将资料备份，并进行充分测试。