Christian Flaßkamp

**Nome do software vulnerável e versões afetadas** Plugin Syracom Secure Login (2FA) para Jira, Confluence e Bitbucket, versões 3.1.4.5 e anteriores **Descrição** A vulnerabilidade permite que invasores remotos contornem a autenticação de dois fatores ao interagir com o endpoint “/rest” do Jira, Confluence ou Bitbucket. Na configuração padrão, “/rest” está na lista de permissões. **Recomendações** Para as versões 3.1.4.5 e anteriores, considere restringir o acesso ao endpoint “/rest” como uma solução temporária até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Syracom Secure Login (2FA) para Jira, Confluence e Bitbucket, versões 3.1.4.5 e anteriores **Descrição** A vulnerabilidade permite que invasores remotos realizem facilmente ataques de força bruta contra o PIN de 2FA através do endpoint “plugins/servlet/twofactor/public/pinvalidation”. Os últimos 30 e os próximos 30 tokens são válidos. **Recomendações** Para as versões 3.1.4.5 e anteriores, como solução temporária, considere restringir o acesso ao endpoint “plugins/servlet/twofactor/public/pinvalidation” até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.