一、 漏洞 CVE-2022-26135 基础信息
漏洞信息
                                        # N/A

## 概述
Atlassian Jira Server和Data Center中的Mobile Plugin存在一个漏洞,允许远程认证用户(包括通过注册功能加入的用户)利用batch端点执行完全的服务器端请求伪造。

## 影响版本
- Atlassian Jira Server和Data Center:
  - 版本8.0.0至8.13.21
  - 版本8.14.0至8.20.9
  - 版本8.21.0至8.22.3

- Jira Management Server和Data Center:
  - 版本4.0.0至4.13.21
  - 版本4.14.0至4.20.9
  - 版本4.21.0至4.22.3

## 细节
漏洞利用了Mobile Plugin中的batch端点,允许攻击者执行服务器端请求伪造(SSRF)。攻击者可以通过认证用户身份(包括通过注册功能加入的用户)进行操作。

## 影响
此漏洞可能使攻击者执行任意的SSRF攻击,从而获取敏感信息或控制服务器的网络请求。这种情况可能会导致信息泄露、内部网络攻击或其他安全威胁。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability in Mobile Plugin for Jira Data Center and Server allows a remote, authenticated user (including a user who joined via the sign-up feature) to perform a full read server-side request forgery via a batch endpoint. This affects Atlassian Jira Server and Data Center from version 8.0.0 before version 8.13.22, from version 8.14.0 before 8.20.10, from version 8.21.0 before 8.22.4. This also affects Jira Management Server and Data Center versions from version 4.0.0 before 4.13.22, from version 4.14.0 before 4.20.10 and from version 4.21.0 before 4.22.4.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Atlassian Jira Server 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Atlassian JIRA Server是澳大利亚Atlassian公司的一套缺陷跟踪管理系统的服务器版本。该系统主要用于对工作中各类问题、缺陷进行跟踪管理。 Atlassian Jira Server 存在安全漏洞。攻击者利用该漏洞通过批处理端点执行服务器端请求伪造攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-26135 的公开POC
# POC 描述 源链接 神龙链接
1 Exploit code for Jira Mobile Rest Plugin SSRF (CVE-2022-26135) https://github.com/assetnote/jira-mobile-ssrf-exploit POC详情
2 CVE-2022-26135 https://github.com/safe3s/CVE-2022-26135 POC详情
3 None https://github.com/Threekiii/Awesome-POC/blob/master/Web%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E/Atlassian%20Jira%20Mobile%20Plugin%20SSRF%E6%BC%8F%E6%B4%9E%20CVE-2022-26135.md POC详情
三、漏洞 CVE-2022-26135 的情报信息