PT-2020-10425 · Atlassian · Jira
Publicado
2020-07-01
·
Atualizado
2020-07-08
·
CVE-2019-20408
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Jira anteriores à 8.7.0
Descrição
A vulnerabilidade permite que invasores remotos acessem o conteúdo de recursos da rede interna por meio de uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF), causada por um erro de lógica na classe
JiraWhitelist. Isso está relacionado ao recurso /plugins/servlet/gadgets/makeRequest.Recomendações
Para versões anteriores à 8.7.0, atualize para a versão 8.7.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao recurso
/plugins/servlet/gadgets/makeRequest até que um patch seja aplicado.Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jira