阿里云漏洞库

漏洞描述

Atlassian Jira的许多资源，版本7.6.9之前，版本7.7.0之前的版本7.7.5，版本7.8.0之前的版本7.8.5，版本7.9.0之前的版本7.9.3，版本7.10.0之前的版本7.10.3版，7.11.3版之前的7.11.0版，7.12.3版之前的7.12.0版以及7.13.1版之前的版本允许远程攻击者攻击用户，在某些情况下可以获取用户的Cross站点请求伪造（CSRF）令牌，通过一个开放的重定向漏洞。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：
https://jira.atlassian.com/browse/JRASERVER-68140

参考链接
http://www.securityfocus.com/bid/105751
https://jira.atlassian.com/browse/JRASERVER-68140

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	atlassian	jira	*		Up to (excluding) 7.6.9
	运行在以下环境
	应用	atlassian	jira	*	From (including) 7.10.0	Up to (excluding) 7.10.3
	运行在以下环境
	应用	atlassian	jira	*	From (including) 7.11.0	Up to (excluding) 7.11.3
	运行在以下环境
	应用	atlassian	jira	*	From (including) 7.12.0	Up to (excluding) 7.12.3
	运行在以下环境
	应用	atlassian	jira	*	From (including) 7.13.0	Up to (excluding) 7.13.1
	运行在以下环境
	应用	atlassian	jira	*	From (including) 7.7.0	Up to (excluding) 7.7.5
	运行在以下环境
	应用	atlassian	jira	*	From (including) 7.8.0	Up to (excluding) 7.8.5
	运行在以下环境
	应用	atlassian	jira	*	From (including) 7.9.0	Up to (excluding) 7.9.3

攻击路径

网络
攻击复杂度

低
权限要求

无
影响范围

已更改
用户交互

需要
可用性

无
保密性

低
完整性

低

CWE-ID	漏洞类型
CWE-601	指向未可信站点的URL重定向（开放重定向）

跨站请求伪造漏洞

漏洞描述

解决建议

参考链接

受影响软件情况