通过滥用JIRA服务办公桌注册设施的身份验证缺陷的严重性

Atlassian补丁在Jira中全文SSRF

Atlassian流行的问题跟踪和项目管理软件Jira容易受到服务器端请求伪造(SSRF)缺陷的攻击,研究人员能够滥用而无需获得证书。

“有多种方法可以在JIRA上创建用户帐户,以根据JIRA实例的配置来利用此问题,” AssetNote CTO和创始人Shubham Shah说。博客文章

这包括滥用JIRA服务台的注册功能,该功能通常是为了提供自助机制的目的。

Shah说:“我们能够通过首先在JIRA服务台上注册,然后使用该帐户访问Jira Core REST API,从而成功利用了此后验证后的漏洞。”

可变影响

跟踪为CVE-2022-26135,“高度严重性”,全读SSRFShah说,居住在Jira Server Core中,“允许攻击者使用任何HTTP方法,标头和身体提出请求任意URL”。

该问题影响了JIRA移动插件中使用的批处理HTTP端点,该插件与JIRA和JIRA服务管理捆绑在一起。

“可以通过易受伤害端点的主体中的方法参数来控制预期URL的HTTP方法和位置,”安全咨询来自Atlassian。

它继续说:“根据环境,jira实例被部署了,该错误的影响会有所不同。”“例如,当部署在AWS中时,它可能会泄漏敏感的凭据。”


有关的进来!Atlassian Confluence攻击提示要求快速修补


一个概念证明利用由AssetNote研究人员制作的试图在Jira Core或Jira服务台上注册一个帐户,然后自动利用SSRF漏洞。

据报道,该缺陷于4月21日向Atlassian的安全团队汇入,并于6月29日降落。

JIRA和JIRA服务管理的所有先前版本都受到漏洞的影响。

研究人员的课程

研究人员在反向工程补丁后找到了SSRF身份验证旁路脆弱性披露于2022年4月,还影响了JIRA的移动插件。

沙阿说:“评估供应商的咨询,补丁和反向工程,受影响的组件有时会导致发现新漏洞。”

他还建议其他研究人员说:“即使不可能通过漏洞绕过身份验证,也要考虑应用程序及其功能的全部背景,以确定替代方法来利用后期发现的问题。验证攻击表面”。


不要错过CWE前25名:这些是2022年最危险的软件弱点