Jira Align 存在两个高危漏洞，可用于获取超级管理员权限

Jira Align 是一款软件即服务 (SaaS) 平台，企业可通过该平台将Atlassian Jira 部署在云上。Atlassian Jira 是一款非常热门的bug追踪和项目管理应用。

Bishop Fox 公司的安全研究员已从Jira Align 中发现了两个高危漏洞，并提醒称利用这两个漏洞的攻击不仅对Jira Align 造成严重影响，而且还对Atlassian 基础设施造成重大影响。

CVE-2022-30682是位于该应用 “Connector” 设置中的SSRF漏洞。攻击者可利用该漏洞“检索提供Jira Align 实例的Atlassian 服务账户的AWS 凭据”。CVE-2022-30683是位于“People”许可中的一个授权控制不足漏洞，可导致拥有该许可的用户修改角色并成为超级管理员，即Jira Align 中的最高角色。

恶意攻击者拥有超级管理员权限后，可访问Jira Align 中的所有数据、更改用户或账户设置，并修改该应用的安全控制。

研究人员指出，具有低级别用户访问权限的攻击者可利用CVE-2022-30683成为超级管理员，并利用CVE-2022-30682获得Atlassian 云凭据。

研究人员指出，“如果未能正确锁定 Atlassian AWS 环境，则攻击者能够通过凭据并非一一对应客户端而是对应Atlassian SaaS，攻陷Atlassian 基础设施。”在这种情况下，攻击者的操作可能会连接至基础设施的多个Atlassian 客户端造成风险。

这两个漏洞均可遭远程利用。这两个漏洞已在7月发布的Jira Align 10.109.3中修复。

题图：黑洞，Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~