一、事件描述

近日，广西教育系统网络安全监测中心监测到Atlassian官方发布了Jira Service ManagementServer和Data Center的风险通告。JIRA是一个缺陷跟踪管理系统，被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。该漏洞存在于Jira Service Management Server和Data Center中，是一个身份验证漏洞，攻击者可利用该漏洞冒充另一个用户并在某些情况下获得对Jira Service Management实例的访问权限，在Jira Service上启用了对用户目录和外发电子邮件的写入权限管理实例，攻击者可以获得对发送给从未登录过帐户的用户的注册令牌的访问权限。

在Jira Service Management Server和Data Center中存在身份认证绕过漏洞，允许攻击者在某些情况下冒用其他用户身份并获得对Jira Service Management实例的访问权限。

二、影响范围

5.3.0 <= Jira Service Management Server/Data Center <= 5.3.2

5.4.0 <= Jira Service Management Server/Data Center <= 5.4.1

Jira Service Management Server/Data Center == 5.5.0

三、漏洞等级

广西教育系统网络安全监测中心将该漏洞评级为高危。

四、安全建议

目前官方已发布安全修复版本，建议广大用户通过以下链接及时将Jira Service Management Server和Data Center更新到安全版本。

https://www.atlassian.com/zh/software/jira/service-management/update

Jira Service Management Server/Data Center >= 5.3.3

Jira Service Management Server/Data Center >= 5.4.2

Jira Service Management Server/Data Center >= 5.5.1

Jira Service Management Server/Data Center >= 5.6.0