Jacob Shafer

**Nome do software vulnerável e versões afetadas** Versões do Atlassian Jira Align anteriores à 10.109.2 **Descrição** O problema está relacionado a uma falsificação de solicitação do lado do servidor (SSRF) no componente da API ManageJiraConnectors da plataforma Jira Align. Isso pode ser explorado por um invasor remoto não autenticado com privilégios de superadministrador, por meio do envio de uma solicitação HTTP especialmente criada, permitindo potencialmente que o invasor acesse recursos da rede interna. **Recomendações** Para versões anteriores à 10.109.2, atualize para a versão 10.109.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à API ManageJiraConnectors para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Atlassian Jira Align Server anteriores à 10.109.2 **Descrição** O problema está relacionado à API MasterUserEdit no Atlassian Jira Align Server, que permite que um invasor autenticado com a permissão de função “People” altere a função de qualquer usuário para “Super Admin”. Isso se deve a falhas no controle de acesso. A vulnerabilidade foi relatada por Jacob Shafer, da Bishop Fox. **Recomendações** Para versões anteriores à 10.109.2, atualize para a versão 10.109.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à API MasterUserEdit para minimizar o risco de exploração.