TokyoBlackHatNews

cyberpress.org 4分で読了

Jira Work Managementの保存型XSS脆弱性により組織全体の侵害が可能に

Snapsecのセキュリティ研究者は、広く採用されている協調作業・プロジェクト追跡プラットフォームであるAtlassianのJira Work Managementに重大な保存型クロスサイトスクリプティング(XSS)脆弱性を発見しました。この脆弱性により、低い権限を持つ攻撃者が組織全体のJira環境を完全に乗っ取ることが可能になります。

Jira Work ManagementはAtlassianエコシステム内のビジネスプロジェクト管理ツールで、URL bugbounty-test-<bugcrowd-name>.atlassian.net/jira/your-work経由でアクセスできます。

組織はソフトウェアバグ追跡やプロジェクトタスク管理から休暇申請フォーム、承認プロセスに至る、幅広い運用ワークフローを管理するために使用しています。

Jiraの問題は、名前、説明、優先度などのシステム定義デフォルトを含むカスタマイズ可能なフィールドを中心に構築されています。

特に優先度フィールドでは、管理者が関連アイコン付きのカスタム優先度レベルを定義できます。この機能が本脆弱性の発見の中心です。

重要なことに、このフィールドのバックエンドには入力検証、出力エンコーディング、またはサニタイゼーションが適用されていません。

これにより、攻撃者はIcon URLプロパティに悪意のあるJavaScriptペイロードを直接インジェクトできます:

カスタム優先度を保存すると、ペイロードはアプリケーションデータベースに永続的に保存されます。その後、任意の管理者または権限を持つユーザーが問題設定ページに移動すると、インジェクトされたスクリプトがブラウザで静かに実行され、通常のページナビゲーション以上のクリック、ダウンロード、またはインタラクションを必要としません。

被害者が細工された悪意のあるリンクをクリックする必要があるReflected XSSとは異なり、Second-Order XSSとも呼ばれる保存型XSSは、悪意のあるペイロードをアプリケーション自体に永続的に埋め込みます

影響を受けるページにアクセスする認証済みユーザーは全員、潜在的な被害者となります。

この受動的で永続的な性質により、保存型XSSはカテゴリ的により危険であり、インジェクトされると封じ込めが困難になります。

この発見の最も技術的に重要な側面は、研究チームが攻撃を組織全体に影響を与えることができる最小権限ロールにどのようにマッピングしたかです。

Jiraのユーザーロール階層を分析した後、彼らは重要な攻撃面として Product Admin を特定しました。

Product Adminは、ConfluenceおよびService Managementを含む任意のJiraプロダクトへの直接アクセス権がありませんが、特に問題の優先度編集を含む管理設定タスクを実行する能力を保持しています。

この区別は重要です:このロールはアクセス制御の観点からは無害に見えますが、すべての管理者に見えるグローバル共有設定パネルに永続的な悪意あるコードをインジェクトする能力を持っています。

ペイロードが保存されたら、研究チームは、Super AdminまたはOrganization Adminが問題設定ページにアクセスした場合、外部でホストされている攻撃者制御のJavaScriptファイルが読み込まれて実行されることを実証しました:

外部JavaScriptペイロードは、管理者の認証されたブラウザセッションから静かに招待リクエストを送信するように設計されていました。

これにより、管理者のアカウントは、管理者の知識または同意なしに、複数のJiraプロダクトへのアクセス権を持つ攻撃者制御ユーザーを招待することを余儀なくされました。

結果はJiraのユーザー管理パネルで確認されました:攻撃者は管理者のブラウザを利用して、3つのJiraプロダクト全体に対する表示、作成、削除、変更権限を持つ新しいユーザーを追加していました。

これは、低リスク設定フィールド内の単一の保存型ペイロードを通じて完全に達成された、組織全体の乗っ取りシナリオを構成しています。

攻撃チェーンはフィッシング、マルウェア、または認証情報の盗難を必要としませんでした。これは管理設定とブラウザでレンダリングされたコンテンツ間の信頼境界を悪用しており、古典的だが頻繁に見落とされた脆弱性クラスです。

この研究は、任意のSaaSプラットフォームに関連する3つの基本的なセキュリティギャップを暴露しています:

Atlassianの独自のセキュリティ修復ポリシーでは、クラウドプロダクトについて、報告から90日以内に重大度の高いバグを解決することが要求されており、責任あるディスクロージャーチャネルを通じて報告されたこのような発見に対応する緊急性を強調しています。

翻訳元: https://cyberpress.org/stored-xss-flaw-in-jira-work/

ソース: cyberpress.org
#Atlassian #Jira #SaaS #クロスサイトスクリプティング #セキュリティ #セッション乗っ取り #保存型XSS #入力検証 #権限昇格 #脆弱性

関連記事

ロシア、政府高官のスマートフォンに外国製スパイウェアを発見

Claude Code GitHub Actionsの脆弱性によりリポジトリ侵害が可能に

KMW CCTVの深刻な脆弱性、未認証でのカメラアクセスを可能に