CVE-2020-14181

**Nome do software vulnerável e versões afetadas:

Versões do Atlassian Jira Server e Data Center anteriores à 7.13.6

Versões do Atlassian Jira Server e Data Center da 8.0.0 à 8.5.7

Versões do Atlassian Jira Server e Data Center da 8.6.0 à 8.12.0

Descrição:

A vulnerabilidade está relacionada ao componente “/ViewUserHover.jspa” do sistema de rastreamento de erros do Jira, que está associado ao armazenamento de informações de credenciais de usuário de forma aberta. A exploração dessa vulnerabilidade pode permitir que um invasor remoto divulgue credenciais de usuário. Um usuário não autenticado pode enumerar usuários por meio de uma vulnerabilidade de divulgação de informações no endpoint “/ViewUserHover.jspa”.

Recomendações:

Para versões anteriores à 7.13.6, atualize para a versão 7.13.6 ou posterior.

Para versões 8.0.0 a 8.5.7, atualize para a versão 8.5.7 ou posterior.

Para versões 8.6.0 a 8.12.0, atualize para a versão 8.12.0 ou posterior.

Como solução alternativa temporária, considere restringir o acesso ao endpoint “/ViewUserHover.jspa” até que um patch esteja disponível. Evite usar o parâmetro username no endpoint afetado até que o problema seja resolvido.