PT-2020-6902 · Atlassian · Fisheye/Crucible
Robin Sim
·
Publicado
2020-11-25
·
Atualizado
2021-07-21
·
CVE-2020-14190
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do Atlassian Fisheye/Crucible anteriores à 4.8.4
Descrição
O problema está relacionado a uma vulnerabilidade de negação de serviço (DoS) por expressões regulares (Regex) no EyeQL, na qual invasores remotos podem explorar a falha por meio de expressões regulares fornecidas pelo usuário. Isso pode levar a um consumo descontrolado de recursos, permitindo potencialmente que um invasor remoto provoque uma negação de serviço.
Recomendações
Para versões anteriores à 4.8.4, atualize para a versão 4.8.4 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o uso do EyeQL para minimizar o risco de exploração.
Correção
DoS
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fisheye/Crucible