1、基本情况

　　Atlassian Jira Service Desk Server存在目录遍历漏洞，CVE编号：CVE-2019-15004。攻击者利用该漏洞远程提交特殊的请求，可在应用程序上下文中读取到系统文件内容。

　　2、攻击原理

　　JIRA Service Desk是一款服务台管理软件，它能够提供简单直观的用户体验，并集成了强大的SLA支持、可自定义的服务队列、自动化的请求管理以及实时的报表。

　　Atlassian Jira Service Desk Server和Jira Service Desk数据中心中的Customer Context筛选器，在受影响版本中允许具有门户网站访问权限的远程攻击者通过路径遍历漏洞查看Jira Service Desk项目中的任意问题。需注意的是，当启用“任何人都可以通过电子邮件发送服务台或在门户中提出请求”设置时，攻击者可以向自己授予门户访问权限，从而允许他们利用此漏洞。

　　3、影响范围

　　受影响的Jira Service Desk服务器和数据中心产品版本：

　　version<3.9.17

　　3.10.0 <= version <3.16.11

　　4.0.0 <= version <4.2.6

　　4.3.0 <= version <4.3.5

　　4.4.0 <= version <4.4.3

　　4.5.0 <= version <4.5.1

　　4、处置建议

　　目前官方已发布了修复程序的版本，请及时关注更新：

　　https://www.atlassian.com/software/jira/service-desk/download

　　5、参考链接

　　1) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15004

　　2) https://confluence.atlassian.com/jirakb/workaround-for-cve-2019-15004-979416164.html