按 Enter 到主內容區
:::

TWCERT-電子報

:::

Atlassian 發布 Jira 嚴重漏洞 CVE-2023-22501,並推出修補與暫時解決方案

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2023-03-09
  • 點閱次數:346
Atlassian 發布 Jira 嚴重漏洞 CVE-2023-22501,並推出修補與暫時解決方案 twcertcc

SaaS 大廠 Atlassian 日前發表資安通報,指出旗下產品 Jira Service Management Server and Data Center 遭發現一個嚴重漏洞 CVE-2023-22501;該漏洞在某些情形下,可導致未授權駭侵者假冒其他用戶登入,並取得遠端連線能力以存取系統。

Atlassian 在資安通報中指出,在對用戶目錄的寫入權限與外送 Email 都為啟用狀況下,Jira Service Management 實例可能會遭到攻擊者使用從未登入的帳號,以傳送給用戶的註冊 token 取得系統存取權限,而駭侵者可以透過兩種方式輕易取得該註冊用 token。

該 CVE-2023-22501 漏洞據 Atlassian 自行評估,其 CVSS 危險程度評分高達 9.4 分(滿分為 10 分),其危險程度評級也高居最危險等級的「Critical」。

Atlassian 指出,這個漏洞所影響的 Jira Service Management Server 和 Data Center 版本為 5.3.0、5.3.1、5.3.2、5.4.0、5.4.1、5.5.0 等。Atlassian 已推出 5.3.3、5.4.2、5.5.1 和 5.6.0 等,將此漏洞修補完成;如果無法立即升級版本,Atlassian 也備有對應各版本的專屬修補軟體,以做為對應該漏洞的暫時解決方案。

Atlassian 指出,即使用戶的 Jira Service Management Server and Data Center 係布署於不直接連通外網的防火牆內,或透過單一登入 (SSO) 存取外部用戶目錄者,也應立即套用更新。

  • CVE 編號:CVE-2023-22501
  • 影響產品:Jira Service Management Server 和 Data Center 版本 5.3.0、5.3.1、5.3.2、5.4.0、5.4.1、5.5.0。
  • 解決方案:升級至 5.3.3、5.4.2、5.5.1 和 5.6.0 等版本。無法立即升級版本時,可至 Atlassian 下載安裝對應各版本的專屬修補軟體,以做為對應該漏洞的暫時解決方案。
回頁首