Atlassianは4月20日(米国時間)、「Jira Security Advisory 2022-04-20」において、同社が提供しているプロジェクト管理ツールの「Jira」に認証バイパスの脆弱性が発見されたとして、セキュリティアドバイザリを公開した。この脆弱性を悪用すると、リモートの攻撃者が認証を回避して標的のシステムに不正にアクセスできる可能性がある。この脆弱性はJiraのコアに存在するものだが、ロールを指定するファーストパーティおよびサードパーティのアプリにも影響するという。
この脆弱性は、「Jira」および「Jira Service Management」に含まれるWeb認証フレームワークである「Jira Seraph」に発見されたもので、CVE-2022-0540として追跡されている。リモートの攻撃者は、特別に細工したHTTPリクエストを送信することで、認証と承認の要件をバイパスして影響を受ける特定のアクションを実行することができる。
影響を受けるプロダクトは以下のとおり。詳細なバージョンおよび影響を受ける構成などについてはセキュリティアドバイザリを参照のこと。
- Jira Core Server
- Jira Software Server
- Jira Software Data Center
- Jira Service Management Server
- Jira Service Management Data Center
AtlassianからはすでにCVE-2022-0540に対する修正バージョンがリリースされており、アップデートすることで、インスタンス内のすべてのアプリがCVE-2022-0540から保護されるとのこと。もしすぐにアップデートできない場合は、セキュリティアドバイザリに記載された緩和策を実施するか、影響を受けるアプリを無効にすることが推奨されている。