一位安全研究人员警告说，在“最坏的情况”下，Jira Align中修补的两个漏洞可能会被低权限的恶意用户组合起来攻击 Atlassian的云基础设施。Jira Align是一个软件即服务(SaaS)平台，企业可以通过该平台扩展其在云中的Atlassian Jira（非常流行的错误跟踪和项目管理应用程序）的部署。Bishop Fox安全研究人员发现了一个高严重性(CVSS 8.8)授权控制漏洞，该漏洞允许具有“人员”权限的用户通过 MasterUserEdit API(CVE-2022-36803)提升他们或任何其他用户的权限为“超级管理员”。随后，滥用中等严重性(CVSS 4.9)服务器端请求伪造(SSRF)错误(CVE-2022-36802)后，攻击者可能会检索到部署Jira Align实例的Atlassian服务账户的AWS凭证。

Bishop Fox的高级安全顾问Jake Shafer表示，超级管理员可以修改Jira连接、重置用户帐户和修改安全设置等。

他说，攻击者还可以访问“SaaS客户端在其Jira部署中拥有的所有内容（或者只是将整个内容脱机，但我希望在这种情况下有一些备份）” 。

“根据我的渗透测试经验，这可能是从凭据和客户信息到有关他们自己的应用程序和软件中未修补漏洞的详细信息的所有内容。

“虽然有充分的理由，我的测试在Atlassian基础设施的边缘停止，但在适当的条件下[利用SSRF]可能意味着通过 Atlassian的AWS基础设施横向或向上移动来访问其他客户端数据。

“由于Atlassian向这些客户提供云租户，因此访问SaaS提供商本身的基础设施几乎是最坏的情况。”

这些漏洞影响版本10.107.4，并在2022年7月22日发布的10.109.3中进行了修补。

“人员”权限的角色取决于实例的配置。“在为测试目的而配置的沙盒环境中，此权限被添加到'项目经理'角色中，但任何具有'人员'权限的角色都可以利用，”Shafer在Bishop Fox安全公告中解释道。

这可以通过“直接向API拦截角色更改请求并将cmbRoleID参数修改为9 ”来完成，或者通过使用包含会话cookie的POST请求执行API调用来完成。

SSRF位于管理外部连接的Jira Align ManageJiraConnectors API中。

名为txtAPIURL的用户提供的URL值指向相关的API位置。Jira Align自动将/rest/api/2/附加到URL服务器端，但进一步添加“#”“将允许攻击者指定任何URL”，Shafer警告说。

这些问题于2022年5月31日被发现，并于6月6日向Atlassian报告，供应商最初于6月28日通过修补程序版本10.108.3.5解决了SSRF。