PT-2021-22381 · Atlassian · Jira
Publicado
2021-08-30
·
Atualizado
2021-09-02
·
CVE-2021-39117
CVSS v3.1
4.8
Média
| Vetor | AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Atlassian Jira Server e Data Center anteriores à 8.18.0
Descrição
A vulnerabilidade permite que invasores remotos injetem código HTML ou JavaScript arbitrário por meio de uma vulnerabilidade de Cross-Site Scripting (XSS). Isso é feito explorando o
nome de um campo personalizado na página AssociateFieldToScreens.Recomendações
Para versões anteriores à 8.18.0, atualize para a versão 8.18.0 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso à página AssociateFieldToScreens até que um patch esteja disponível.
Evite usar nomes de campos personalizados que possam ser usados para injetar HTML ou JavaScript arbitrário no endpoint da API afetado até que o problema seja resolvido.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jira