CVE-2020-36232

**Nome do software vulnerável e versões afetadas:

atlassian-gadgets versões 4.2.37 e anteriores

atlassian-gadgets versões 4.3.0 a 4.3.13

atlassian-gadgets versões 4.3.2.0 a 4.3.2.3

atlassian-gadgets versões 4.4.0 a 4.4.11

atlassian-gadgets versão 5.0.0

Descrição:

A classe MessageBundleWhiteList do atlassian-gadgets obteve incorretamente informações da URL base do aplicativo a partir da solicitação HTTP em execução, o que poderia ser controlado por um invasor, permitindo consultas DNS inesperadas e solicitações a serviços arbitrários.

Recomendações:

Para as versões 4.2.37 e anteriores do atlassian-gadgets, atualize para a versão 4.2.37 ou posterior.

Para as versões 4.3.0 a 4.3.13 do atlassian-gadgets, atualize para a versão 4.3.14 ou posterior.

Para as versões 4.3.2.0 a 4.3.2.3 do atlassian-gadgets, atualize para a versão 4.3.2.4 ou posterior.

Para as versões 4.4.0 a 4.4.11 do atlassian-gadgets, atualize para a versão 4.4.12 ou posterior.

Para as versões 5.0.0 do atlassian-gadgets, atualize para a versão 5.0.1 ou posterior.