CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF 漏洞

語言: CN / TW / HK

★且聽安全★-點關注,不迷路!

★漏洞空間站★-優質漏洞資源和小夥伴聚集地!

漏洞資訊

Atlassian Jira 存在服務端偽造請求漏洞 CVE-2022-26135,該漏洞是由於 Mobile Plugin for Jira 元件造成的,攻擊者可通過 Jira REST API 傳送特殊請求,從而發起 SSRF 攻擊。

漏洞分析

CVE-2022-26135  漏洞觸發的 API 介面位於 `com.atlassian.jira.plugin.mobile.rest.v1_0.BatchResource` :

存在名為 `executeBatch` 的介面函式:

進入 `BatchService` 介面的實現類 `BatchServiceImpl` ,定位函式 `batch` :

跟進 `execute` 函式 :

`relativeLocation` 來自於 `requestBean` 中的 `location` :

接著傳入 `toJiraLocation` 函式:

`path` 來自於輸入引數 `location` ,是完全可控的。回到 `execute` 函式,獲取到 `URL` 物件後,最終會呼叫 `httpClientProvider` 傳送 HTTP 請求:

因為 `URL` 後半部分是可控的,如果設定 `location` 為 `@a.com` ,那麼 `URL` 最終為 `http://[email protected]` , `httpClientProvider` 實際是向 `a.com` 傳送 HTTP 請求,導致出現 SSRF 漏洞。

修復方式

在 `BatchResource#validate` 函式中新增了對引數的驗證:

`UriUtils.arePathsSafe` 函式也是在新版本中加入的,定義如下:

新增正則表示式規則 `PATH_TRAVERSAL` 對 `location` 引數進行檢查。

由於傳播、利用此文件提供的資訊而造成任何直接或間接的後果及損害,均由使用本人負責,且聽安全及文章作者不為此承擔任何責任。

★且聽安全★-點關注,不迷路!

★漏洞空間站 -優質漏洞資源和小夥伴聚集地!

「其他文章」