PT-2021-16943 · Atlassian · Jira
Publicado
2021-04-14
·
Atualizado
2022-03-30
·
CVE-2021-26076
CVSS v2.0
4.3
Média
| Vetor | AV:N/AC:M/Au:N/C:P/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Jira Server e Data Center anteriores à 8.5.12
Versões do Jira Server e Data Center da 8.6.0 à 8.13.4
Versões do Jira Server e Data Center da 8.14.0 à 8.14.x
Descrição
A vulnerabilidade permite que invasores remotos anônimos descubram em qual modo um usuário está editando, devido ao cookie
jira.editor.user.mode não estar definido com um atributo seguro caso o Jira tenha sido configurado para usar https. Isso pode ocorrer quando um invasor realiza um ataque man-in-the-middle.Recomendações
Para versões anteriores à 8.5.12, atualize para a versão 8.5.12 ou posterior.
Para as versões 8.6.0 a 8.13.4, atualize para a versão 8.13.4 ou posterior.
Para as versões 8.14.0 a 8.14.x, atualize para a versão 8.15.0 ou posterior.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jira