首頁 > 安全研究 > 安全通報 > 安全通告

Jira未授權服務端模板注入漏洞安全通告

發布時間 2019-07-15

漏洞編號和級


CVE編號CVE-2019-11581,危險級別:高危,CVSS分值:官方未評定


影響版本


受影響的版本


AtlassianJira 4.4.x

AtlassianJira 5.x.x

AtlassianJira 6.x.x

AtlassianJira 7.0.x

AtlassianJira 7.1.x

AtlassianJira 7.2.x

AtlassianJira 7.3.x

AtlassianJira 7.4.x

AtlassianJira 7.5.x

AtlassianJira 7.6.x < 7.6.14

AtlassianJira 7.7.x

AtlassianJira 7.8.x

AtlassianJira 7.9.x

AtlassianJira 7.10.x

AtlassianJira 7.11.x

AtlassianJira 7.12.x

AtlassianJira 7.13.x < 7.13.5

AtlassianJira 8.0.x < 8.0.3

AtlassianJira 8.1.x < 8.1.2

AtlassianJira 8.2.x < 8.2.3


概述


Atlassian Jira是澳大利亞Atlassian公司的一套缺陷跟蹤管理系統。該系統主要用于對工作中各類問題、缺陷進行跟蹤管理。


Atlassian Jira Server和Jira Data Center存在服務端模板注入漏洞。成功利用此漏洞的攻擊者可在運行受影響版本的Jira Server或Jira Data Center的系統上執行任意命令。


第一種情況,Jira服務端已配置好SMTP服務器,且“聯系管理員表單”功能已開啟。(默認配置為關閉)


第二種情況,Jira服務端已配置好SMTP服務器,且攻擊者具有"JIRA管理員"的訪問權限。第一種情況下,“聯系管理員表單”功能開啟的情況下,攻擊者可以未經任何認證,通過向/secure/ContactAdministrators.jspa發起請求利用此漏洞。在第二種情況下,攻擊者具有"JIRA 管理員"的訪問權限下可通過/secure/admin/SendBulkMail!default.jspa利用此漏洞。


兩種觸發方式本質原因都是:atlassian-jira/WEB-INF/classes/com/atlassian/jira/web/action/user/ContactAdministrators未對Subject(郵件主題)處進行過濾,用戶傳入的郵件主題被當作template(模板)指令執行。在任何一種情況下,成功利用此漏洞的攻擊者都可在運行受影響版本的Jira Server或Jira Data Center的系統上執行任意命令。


漏洞驗證


暫無POC/EXP。


修復建議


前已發布新版本,受影響的版本也已發布更新。如這些解決方案均不可行,可暫時采取如下緩解措施


1.禁用“聯系網站管理員”功能。設置-系統-編輯設置-聯系管理員表單處選擇,然后點擊最下面的更新保存設置。


具體操作方式參考:https://confluence.atlassian.com/adminjiraserver/configuring-the-administrator-contact-form-974375905.html#Configuringtheadministratorcontactform-DisablingtheContactAdministratorsForm


驗證生效方法:訪問/secure/ContactAdministrators!default.jspa出現:您的Jira管理員尚未配置此聯系表。“Your Jira administrator has not yetconfigured this contact form”。



2.禁止對/secure/admin/SendBulkMail!default.jspa的訪問??赏ㄟ^拒絕反向代理、負載平衡器或直接從Tomcat 攔截訪問權限,阻止管理員向用戶發送批量郵件。


參考鏈接


https://confluence.atlassian.com/jira/jira-security-advisory-2019-07-10-973486595.html



上一篇 下一篇