【漏洞通告】CVE-2022-36803 Atlassian Jira Align权限提升漏洞

最新推荐文章于 2024-07-27 09:11:29 发布
最新推荐文章于 2024-07-27 09:11:29 发布
阅读量347 收藏 1
点赞数 2
分类专栏: 漏洞通告 文章标签: 网络安全 web安全 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44281295/article/details/127362389
版权

目录

0x01 漏洞详情

0x02 影响范围

0x03 修复建议

0x04 参考链接

0x01 漏洞详情

        Atlassian Jira Align是一个企业敏捷规划平台,可将工作与大规模的产品、项目和投资组合管理联系起来。 10月14日,Atlassian修复了Jira Align中的一个权限提升漏洞(CVE-2022-36803),该漏洞的CVSS评分为6.5。 由于Atlassian Jira Align 10.109.2 之前版本中的 MasterUserEdit API 允许经过身份验证且具有 People 角色权限的用户使用 MasterUserEdit API 将任何用户角色修改为超级管理员。

0x02 影响范围

        Atlassian Jira Align 版本 < 10.109.2

0x03 修复建议

        官方已经针对漏洞发布了版本更新,详情如下:

        https://help.jiraalign.com/hc/en-us/articles/235943887

0x04 参考链接

https://www.zzwa.org.cn/4651/
Evan Kang
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析
小王的储物间
01-31 406
其中batchService接口的实现类BatchServiceImpl位于com.atlassian.jira.plugin.mobile.service.impl.BatchServiceImpl.class。插件,在com.atlassian.jira.plugin.mobile.rest.v1_0.BatchResource中存在barch。继续跟进,位于com.atlassian.jira.plugin.mobile.util.LinkBuilder.class。
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9
03-15
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9 麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9 麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关...
Atlassian JIRA服务器模板注入漏洞CVE-2019-11581)
qq_44504968的博客
04-06 1029
Atlassian JIRA服务器模板注入漏洞CVE-2019-11581)一、漏洞原理二、漏洞风险等级三、漏洞影响范围四、实验环境4.1靶机:4.2攻击机:五、漏洞复现六、漏洞修复方案 一、漏洞原理 Atlassian Jira是企业广泛使用的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。 因atlassian-jira/WEB-INF/classes/com/atlassian/jira/web/action/user/Contact
Atlassian Jira 模板注入漏洞CVE-2019-11581)
EC_Carrot的博客
07-06 396
漏洞详细 请移步:https://vulhub.org/#/environments/jira/CVE-2019-11581/
最近的Jira漏洞
公众号shadow sock7
07-16 888
https://jira.atlassian.com/browse/JRASERVER-71113 https://jira.atlassian.com/browse/JRASERVER-71114 https://jira.atlassian.com/browse/JRASERVER-70923 https://jira.atlassian.com/browse/JRASERVER-71107 https://confluence.atlassian.com/jirasoftwareserver/atta
Jira未授权SSRF漏洞(CVE-2019-8451)
Li-D的博客
12-31 1492
漏洞描述 Jira的/plugins/servlet/gadgets/makeRequest资源存在SSRF漏洞,原因在于JiraWhitelist这个类的逻辑缺陷,成功利用此漏洞的远程攻击者可以以Jira服务端的身份访问内网资源。经分析,此漏洞无需任何凭据即可触发。 漏洞危害 远程攻击者可以利用此漏洞Jira服务端的身份访问内网资源。 漏洞影响版本 Jira < 8.4.0 漏洞分析 两个关键信息点: • 漏洞点在/plugins/servlet/gadgets/makeRequest • 原因在
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
05-05
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1
03-15
2022-0847)漏洞补丁及相关依赖包1Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1Linux kernel本地权限提升漏洞(CVE-...
CVE-2019-8451(Jira未授权SSRF漏洞)
qq_41048303的博客
04-09 4707
CVE-2019-8451(Jira未授权SSRF漏洞) 1.漏洞概述 jira的/plugins/servlet/gadgets/makeRequest资源存在ssrf漏洞。 2.环境搭建 使用docker 进行搭建 docker pull cptactionhank/atlassian-jira:7.8.0 docker run --detach --publish 8080:8080 cptactionhank/atlassian-jira:7.8.0 访问ip:8080进行安装jira,安装过程需
Apache Subversion Use-After-Free漏洞CVE-2022-24070)
murphysec的博客
04-19 592
CVE-2022-24070漏洞会造成Apache Subversion下处理请求的 HTTPD 工作进程崩溃,进而导致拒绝服务,目前该漏洞已修复,建议受影响用户更新到安全版本,或下载官方补丁:https://subversion.apache.org/security/CVE-2022-24070-advisory.txt 编号       CVE-2022-24070                      标题 Apache Subversion Use-After-Free漏洞
Atlassian Jira 信息泄露漏洞(CVE-2019-3403) 排查思路
HeLLo_a119的博客
04-28 661
企业广泛使用的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。如果是正常的访问也会返回敏感数据,返回包中的敏感信息是正常的响应内容,所以他不算是一次攻击成功,算是误报。告警的检测规则是匹配响应中有没有返回数据包里面带有敏感信息的部分(检测URL和响应体)。如果是内部人员正常的操作,可以确定这是一次误报,但是不能确定他存不存在这个漏洞。2.通过受害者IP地址找到对应的人员并确认他们是否进行了可能的不当操作。信息泄露漏洞的告警。
最近的几个Jira漏洞
公众号shadow sock7
08-27 8855
cnnvd上发布了几个jira漏洞,都是中低危的: https://mp.weixin.qq.com/s/cylzALSdMPud5-hXqo4mKA 大量jira的bug漏洞可以参考这里: https://jira.atlassian.com/browse/JRASERVER-69858?filter=13085 jira的各种REST API文档: https://docs.atlassia...
漏洞笔记--Jira 相关漏洞复现及利用
NoooEmotion的博客
01-28 4308
Atlassian Jira是企业广泛使用的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。
认识漏洞-Jira身份验证绕过漏洞、GIT泄露漏洞
最新发布
Boom!脑洞大爆炸的博客
07-27 235
认识漏洞-Jira身份验证绕过漏洞、GIT泄露漏洞
jira漏洞复现
Shanfenglan's blog
12-03 4077
文章目录1. Atlassian Jira 模板注入漏洞CVE-2019-11581)1.1 利用参考文章 1. Atlassian Jira 模板注入漏洞CVE-2019-11581) 影响版本 4.4.x 5.x.x 6.x.x 7.0.x 7.1.x 7.2.x 7.3.x 7.4.x 7.5.x 7.6.x before 7.6.14 (the fixed version for 7.6.x) 7.7.x 7.8.x 7.9.x 7.10.x 7.11.x 7.12.x 7.13.x befor
Atlassian 修复Jira 中的完全读取SSRF漏洞
smellycat000的专栏
07-07 401
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Atlassian 公司的热门问题追踪和项目管理软件 Jira 易受一个服务器端请求伪造 (SSRF) 缺陷影响,在无需凭据的情况下即可遭滥用。Assetnote 公司的首席技术官兼创始人 Shubham Shah 在博客文章中指出,“根据Jira 实例的不同,有很多种方法可以在 Jira 上创建账户来利用该漏洞”,例如...
Jira的误配置导致的敏感信息泄露
公众号shadow sock7
08-05 1344
最近有报道说是因为jira的误配置问题,导致了一些数据泄露,其中包含一些大公司,比如NASA, Google, Yahoo,Lenovo, 1password, Informatica等。更有甚者,说是泄露了NASA的好几百人的邮箱。 https://gbhackers.com/jira-servers-data-leak/ https://medium.com/@logicbomb_1/one-...
Apache Spark 命令注入漏洞CVE-2022-33891)修复与利用
Apache Spark 命令注入漏洞CVE-2022-33891) Apache Spark 命令注入漏洞CVE-2022-33891)是 Apache Spark 中的一种高危漏洞,允许攻击者通过命令注入来执行恶意命令,从而控制服务器。该漏洞影响 Apache Spark ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Evan Kang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值