一、 漏洞 CVE-2022-26136 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在多个 Atlassian 产品上的一个漏洞允许远程未授权的攻击者绕过应用程序中使用的第一个和第三方Servlet过滤器。影响取决于每个应用程序使用的过滤器,以及如何使用这些过滤器。此漏洞可能导致身份绕过和跨站点脚本攻击。 Atlassian 已发布更新以修复此漏洞的根本原因,但尚未 exhaustively 列举所有可能的后果。在 Atlassian bamboo 版本受影响之前是 8.0.9,从 8.1.0 开始,直到 8.1.8,再到 8.2.0;在 Atlassian Bitbucket 版本受影响之前是 7.6.16,从 7.7.0 开始,直到 7.17.8;从 7.18.0 开始,直到 7.19.5;从 7.20.0 开始,直到 7.20.2;从 7.21.0 开始,直到 7.21.2,以及版本 8.0.0 和 8.1.0;在 Atlassian Confluence 版本受影响之前是 7.4.17,从 7.5.0 开始,直到 7.13.7;从 7.14.0 开始,直到 7.14.3;从 7.15.0 开始,直到 7.15.2;从 7.16.0 开始,直到 7.16.4;从 7.17.0 开始,直到 7.17.4,以及版本 7.21.0;在 Atlassian Crowd 版本受影响之前是 4.3.8,从 4.4.0 开始,直到 4.4.2,再到版本 5.0.0;在 Atlassian Fisheye 和 Crucible 版本受影响之前是 4.8.10 左右。在 Atlassian Jira 版本受影响之前是 8.13.22,从 8.14.0 开始,直到 8.20.10,再到 8.21.0;从 8.21.0 开始,直到 8.22.4。在 Atlassian Jira 服务管理版本受影响之前是 4.13.22,从 4.14.0 开始,直到 4.20.10,再到 4.22.4。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability in multiple Atlassian products allows a remote, unauthenticated attacker to bypass Servlet Filters used by first and third party apps. The impact depends on which filters are used by each app, and how the filters are used. This vulnerability can result in authentication bypass and cross-site scripting. Atlassian has released updates that fix the root cause of this vulnerability, but has not exhaustively enumerated all potential consequences of this vulnerability. Atlassian Bamboo versions are affected before 8.0.9, from 8.1.0 before 8.1.8, and from 8.2.0 before 8.2.4. Atlassian Bitbucket versions are affected before 7.6.16, from 7.7.0 before 7.17.8, from 7.18.0 before 7.19.5, from 7.20.0 before 7.20.2, from 7.21.0 before 7.21.2, and versions 8.0.0 and 8.1.0. Atlassian Confluence versions are affected before 7.4.17, from 7.5.0 before 7.13.7, from 7.14.0 before 7.14.3, from 7.15.0 before 7.15.2, from 7.16.0 before 7.16.4, from 7.17.0 before 7.17.4, and version 7.21.0. Atlassian Crowd versions are affected before 4.3.8, from 4.4.0 before 4.4.2, and version 5.0.0. Atlassian Fisheye and Crucible versions before 4.8.10 are affected. Atlassian Jira versions are affected before 8.13.22, from 8.14.0 before 8.20.10, and from 8.21.0 before 8.22.4. Atlassian Jira Service Management versions are affected before 4.13.22, from 4.14.0 before 4.20.10, and from 4.21.0 before 4.22.4.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
不正确的行为次序:规范化之前验证
来源:美国国家漏洞数据库 NVD
漏洞标题
Atlassian Crowd和Atlassian Jira 授权问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Atlassian Crowd和Atlassian Jira都是澳大利亚Atlassian公司的产品。Atlassian Crowd是一套基于Web的单点登录系统。该系统为多用户、网络应用程序和目录服务器提供验证、授权等功能。Atlassian Jira是一套缺陷跟踪管理系统。该系统主要用于对工作中各类问题、缺陷进行跟踪管理。 Atlassian Crowd Server 和 Data Center 存在安全漏洞,未经身份验证的远程攻击者可以绕过第一方和第三方应用程序使用的 Servlet 过滤器。可以导
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-26136 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2022-26136 的情报信息