Gil-Maman-P

**Nome do Software Vulnerável e Versões Afetadas** mcp-atlassian (versões afetadas não especificadas) **Descrição** O software contém uma falha crítica de execução remota de código (RCE) não autenticada e falsificação de solicitação do lado do servidor (SSRF). A RCE é resultado de uma gravação arbitrária de arquivos, levando à execução arbitrária de código através de um `download path` sem restrições na função `confluence download attachment`. **Recomendações** Até o momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do MCP Atlassian anteriores à 0.17.0 **Descrição** O MCP Atlassian é um servidor Model Context Protocol (MCP) utilizado com produtos Atlassian, como Confluence e Jira. Em versões anteriores à 0.17.0, um atacante não autenticado que acesse o endpoint HTTP mcp-atlassian pode fazer o servidor enviar requisições HTTP para uma URL controlada pelo atacante, fornecendo cabeçalhos HTTP específicos sem um cabeçalho `Authorization`. Isso ocorre na camada de middleware HTTP e de injeção de dependência. Em ambientes de nuvem, isso pode levar ao roubo de credenciais de função IAM através do endpoint de metadados da instância (`169[.]254[.]169[.]254`). Em qualquer implantação HTTP, permite o reconhecimento da rede interna e a injeção de conteúdo controlado pelo atacante nos resultados de ferramentas de LLM. O problema está relacionado à ausência de verificações de autenticação obrigatórias para requisições HTTP específicas. **Recomendações** Versões anteriores à 0.17.0 devem ser atualizadas para a versão 0.17.0 ou posterior.