★且听安全★-点关注，不迷路！

★漏洞空间站★-优质漏洞资源和小伙伴聚集地！

Atlassian Jira 存在服务端伪造请求漏洞 CVE-2022-26135，该漏洞是由于 Mobile Plugin for Jira 组件造成的，攻击者可通过 Jira REST API 发送特殊请求，从而发起 SSRF 攻击。

 CVE-2022-26135 漏洞触发的 API 接口位于 `com.atlassian.jira.plugin.mobile.rest.v1_0.BatchResource` ：

存在名为 `executeBatch` 的接口函数：

进入 `BatchService` 接口的实现类 `BatchServiceImpl` ，定位函数 `batch` ：

跟进 `execute` 函数 ：

`relativeLocation` 来自于 `requestBean` 中的 `location` ：

接着传入 `toJiraLocation` 函数：

`path` 来自于输入参数 `location` ，是完全可控的。回到 `execute` 函数，获取到 `URL` 对象后，最终会调用 `httpClientProvider` 发送 HTTP 请求：

因为 `URL` 后半部分是可控的，如果设置 `location` 为 `@a.com` ，那么 `URL` 最终为 `http://[email protected]` ， `httpClientProvider` 实际是向 `a.com` 发送 HTTP 请求，导致出现 SSRF 漏洞。

在 `BatchResource#validate` 函数中新增了对参数的验证：

`UriUtils.arePathsSafe` 函数也是在新版本中加入的，定义如下：

新增正则表达式规则 `PATH_TRAVERSAL` 对 `location` 参数进行检查。

由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害，均由使用本人负责，且听安全及文章作者不为此承担任何责任。

★且听安全★-点关注，不迷路！

★漏洞空间站★-优质漏洞资源和小伙伴聚集地！