• 發布單位:TWCERT/CC
• 更新日期:2023-03-09
• 點閱次數:361

SaaS 大廠 Atlassian 日前發表資安通報，指出旗下產品 Jira Service Management Server and Data Center 遭發現一個嚴重漏洞 CVE-2023-22501；該漏洞在某些情形下，可導致未授權駭侵者假冒其他用戶登入，並取得遠端連線能力以存取系統。

Atlassian 在資安通報中指出，在對用戶目錄的寫入權限與外送 Email 都為啟用狀況下，Jira Service Management 實例可能會遭到攻擊者使用從未登入的帳號，以傳送給用戶的註冊 token 取得系統存取權限，而駭侵者可以透過兩種方式輕易取得該註冊用 token。

該 CVE-2023-22501 漏洞據 Atlassian 自行評估，其 CVSS 危險程度評分高達 9.4 分（滿分為 10 分），其危險程度評級也高居最危險等級的「Critical」。

Atlassian 指出，這個漏洞所影響的 Jira Service Management Server 和 Data Center 版本為 5.3.0、5.3.1、5.3.2、5.4.0、5.4.1、5.5.0 等。Atlassian 已推出 5.3.3、5.4.2、5.5.1 和 5.6.0 等，將此漏洞修補完成；如果無法立即升級版本，Atlassian 也備有對應各版本的專屬修補軟體，以做為對應該漏洞的暫時解決方案。

Atlassian 指出，即使用戶的 Jira Service Management Server and Data Center 係布署於不直接連通外網的防火牆內，或透過單一登入 (SSO) 存取外部用戶目錄者，也應立即套用更新。

• CVE 編號：CVE-2023-22501
• 影響產品：Jira Service Management Server 和 Data Center 版本 5.3.0、5.3.1、5.3.2、5.4.0、5.4.1、5.5.0。
• 解決方案：升級至 5.3.3、5.4.2、5.5.1 和 5.6.0 等版本。無法立即升級版本時，可至 Atlassian 下載安裝對應各版本的專屬修補軟體，以做為對應該漏洞的暫時解決方案。