Jira未授权服务端模板注入漏洞安全通告
发布时间 2019-07-15漏洞编号和级别
CVE编号:CVE-2019-11581,危险级别:高危,CVSS分值:官方未评定
影响版本
受影响的版本
AtlassianJira 4.4.x
AtlassianJira 5.x.x
AtlassianJira 6.x.x
AtlassianJira 7.0.x
AtlassianJira 7.1.x
AtlassianJira 7.2.x
AtlassianJira 7.3.x
AtlassianJira 7.4.x
AtlassianJira 7.5.x
AtlassianJira 7.6.x < 7.6.14
AtlassianJira 7.7.x
AtlassianJira 7.8.x
AtlassianJira 7.9.x
AtlassianJira 7.10.x
AtlassianJira 7.11.x
AtlassianJira 7.12.x
AtlassianJira 7.13.x < 7.13.5
AtlassianJira 8.0.x < 8.0.3
AtlassianJira 8.1.x < 8.1.2
AtlassianJira 8.2.x < 8.2.3
漏洞概述
Atlassian Jira是澳大利亚Atlassian公司的一套缺陷跟踪管理系统。该系统主要用于对工作中各类问题、缺陷进行跟踪管理。
Atlassian Jira Server和Jira Data Center存在服务端模板注入漏洞。成功利用此漏洞的攻击者可在运行受影响版本的Jira Server或Jira Data Center的系统上执行任意命令。
第一种情况,Jira服务端已配置好SMTP服务器,且“联系管理员表单”功能已开启。(默认配置为关闭)
第二种情况,Jira服务端已配置好SMTP服务器,且攻击者具有"JIRA管理员"的访问权限。在第一种情况下,“联系管理员表单”功能开启的情况下,攻击者可以未经任何认证,通过向/secure/ContactAdministrators.jspa发起请求利用此漏洞。在第二种情况下,攻击者具有"JIRA 管理员"的访问权限下可通过/secure/admin/SendBulkMail!default.jspa利用此漏洞。
两种触发方式本质原因都是:atlassian-jira/WEB-INF/classes/com/atlassian/jira/web/action/user/ContactAdministrators未对Subject(邮件主题)处进行过滤,用户传入的邮件主题被当作template(模板)指令执行。在任何一种情况下,成功利用此漏洞的攻击者都可在运行受影响版本的Jira Server或Jira Data Center的系统上执行任意命令。
漏洞验证
暂无POC/EXP。
修复建议
目前已发布新版本,受影响的版本也已发布更新。如这些解决方案均不可行,可暂时采取如下缓解措施
1.禁用“联系网站管理员”功能。设置-系统-编辑设置-联系管理员表单处选择“关”,然后点击最下面的“更新”保存设置。
具体操作方式参考:https://confluence.atlassian.com/adminjiraserver/configuring-the-administrator-contact-form-974375905.html#Configuringtheadministratorcontactform-DisablingtheContactAdministratorsForm
验证生效方法:访问/secure/ContactAdministrators!default.jspa出现:“您的Jira管理员尚未配置此联系表。”或“Your Jira administrator has not yetconfigured this contact form”。
2.禁止对/secure/admin/SendBulkMail!default.jspa的访问。可通过拒绝反向代理、负载平衡器或直接从Tomcat 拦截访问权限,阻止管理员向用户发送批量邮件。
参考链接
https://confluence.atlassian.com/jira/jira-security-advisory-2019-07-10-973486595.html
京公网安备11010802024551号