近日，我司监测到Atlassian发布安全公告，修复了2个存在于Jira Align中的安全漏洞。

Atlassian Jira Align 是一个企业敏捷规划平台，可将工作与产品、项目和投资组合管理大规模连接起来。

详情如下：

1.CVE-2022-36802 Atlassian Jira Align 存在SSRF漏洞

风险等级：高危

漏洞类型：服务端请求伪造

漏洞简介：该漏洞是由于Atlassian Jira Align中的ManageJiraConnectors API允许远程攻击者利用该问题通过服务器端请求伪造访问内部网络资源。超级管理员权限和未经身份验证的攻击者可以通过发送特制的 HTTP 请求来远程利用此漏洞。

2.CVE-2022-36803 Atlassian Jira Align 存在权限提升漏洞

风险等级：高危

漏洞类型：权限提升

漏洞简介：该漏洞是由于MasterUserEdit API 允许经过身份验证且具有People角色权限的攻击者使用MasterUserEdit API将任何用户角色修改为超级管理员。

影响版本：

• Atlassian Jira Align < 10.109.2

安全版本：

• Atlassian Jira Align >= 10.109.2

修复建议：

官方已经针对漏洞发布了版本更新，详情如下：

• https://help.jiraalign.com/hc/en-us/articles/235943887