安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
Atlassian Crowd 安全配置错误漏洞
2022-11-23 16:13:07 【

1. 通告信息




近日,安识科技A-Team团队监测到Atlassian发布安全公告,修复了Atlassian Crowd中的一个安全配置错误漏洞(CVE-2022-43782)。

对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。


2. 漏洞概述




漏洞名称:Atlassian Crowd 安全配置错误漏洞

CVE编号:CVE-2022-43782

简述:Atlassian Crowd旨在实现集中身份管理,可无缝集成Jira、Confluence 和 Bitbucket等Atlassian 产品并提供集中式单点登录 (SSO) 和用户管理。

Atlassian Crowd 3.0.0及之后版本中存在安全配置错误漏洞,可能导致在{{usermanagement}} 路径下调用 Crowd 的 REST API中的特权端点来认证为Crowd应用程序,但该漏洞只能被Remote Address配置中Crowd应用程序白名单下指定的 IP 所利用,在3.0.0之后的版本中默认为{{none}}。


3. 漏洞危害




CVE-2022-43782 中,Atlassian Crowd和Atlassian Crowd Data Center 3.0 版本及其之后在同时满足以下条件时受影响:

1、Atlassian Crowd和Atlassian Crowd Data Center 为新安装版本,即从 https://www.atlassian.com/software/crowd/download/data-center 下载安装,而不是从旧版本升级而来。

2、在Atlassian Crowd和Atlassian Crowd Data Center Remote Address 配置中增加了IP,默认情况下为空

在同时满足以上两个条件的情况下,攻击者可从相关IP地址调用Atlassian Crowd和Atlassian Crowd Data Center usermanagement REST API,而无需通过密码身份认证,执行任意敏感操作。


4. 影响版本




目前受影响的Atlassian Crowd版本:

Atlassian Crowd 3.0.0 - 3.7.2

Atlassian Crowd 4.0.0 - 4.4.3

Atlassian Crowd 5.0.0 - 5.0.2

注:crowd应用的Remote Address配置中未增加IP地址则不受影响(3.0.0之后的版本默认没有)。


5. 解决方案


目前该漏洞已经修复,受影响用户可以升级到以下版本:

Atlassian Crowd 5.0版本 >= 5.0.3

Atlassian Crowd 4.0版本 >= 4.4.4

Atlassian Crowd 3.0版本 :该版本已停止维护,可升级到Crowd 4.4.4 或 5.0.3。

下载链接:

https://www.atlassian.com/software/crowd


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇微软11月发布多个安全漏洞 下一篇七种常见的电子邮件安全协议简析

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800