Altassianは7月20日(米国時間)、「Multiple Products Security Advisory - CVE-2022-26136, CVE-2022-26137|Atlassian Support|Atlassian Documentation」において、Atlassianの複数の製品に重大な脆弱性が存在すると伝えた。サーブレットフィルタディスパッチャの脆弱性と呼ばれる2つの重大な欠陥にパッチが適用されている。

  • Multiple Products Security Advisory - CVE-2022-26136、CVE-2022-26137|Atlassian Support|Atlassian Documentation

    Multiple Products Security Advisory - CVE-2022-26136, CVE-2022-26137|Atlassian Support|Atlassian Documentation

CVE-2022-26136およびCVE-2022-26137として追跡されている脆弱性の悪用に成功すると、未認証のリモート攻撃者がサードパーティアプリが使用する認証を回避し、任意のJavaScriptコードを実行し、特別に細工したHTTP要求を送信することでCORS(Cross-Origin Resource Sharing)ブラウザ機構を回避する恐れがある。

影響を受けるAtlassianの製品は次のとおり。

  • Bamboo ServerおよびData Center
  • Bitbucket ServerおよびData Center
  • Confluence ServerおよびData Center
  • Crowd ServerおよびData Center
  • FisheyeおよびCrucible
  • Jira ServerおよびData Center
  • Jira Service Management ServerおよびData Center

上記Atlassian製品を利用している場合、Altassianの公開しているセキュリティアドバイザリの内容を確認するとともに、迅速にアップグレードを実施することが望まれる。