PT-2021-4639 · Atlassian+8 · Jira+11

Nicholas Boucher

+1

·

Publicado

2021-11-01

·

Atualizado

2024-08-04

·

CVE-2021-42574

CVSS v2.0

10

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões da Especificação Unicode anteriores à 14.0
Jira Service Management (versões afetadas não especificadas)
Jira Software (versões afetadas não especificadas)
Jira Work Management (versões afetadas não especificadas)
Descrição
O problema está relacionado ao Algoritmo Bidirecional da Especificação Unicode, que pode ser explorado para introduzir vulnerabilidades direcionadas de forma invisível aos revisores humanos. Isso é feito através da criação de código-fonte que gera uma lógica diferente da ordem lógica dos tokens processados por compiladores e interpretadores. O Unicode Consortium documentou essa classe de vulnerabilidade e fornece orientações sobre medidas de mitigação. A vulnerabilidade pode afetar aplicativos que implementam suporte ao Padrão Unicode e ao Algoritmo Bidirecional Unicode. Ela também é conhecida como ataque Trojan Source, que permite que um invasor codifique código-fonte para compiladores que aceitam Unicode, introduzindo vulnerabilidades que não são visíveis aos revisores humanos.
Recomendações
Para versões da Especificação Unicode anteriores à 14.0: Considere implementar as orientações sobre medidas de mitigação fornecidas pelo Unicode Consortium no Padrão Técnico Unicode nº 39, Mecanismos de Segurança Unicode, e no Anexo do Padrão Unicode nº 31, Identificador Unicode e Sintaxe de Padrão.
Para Jira Service Management, Jira Software e Jira Work Management: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Code Injection

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-94CWE-20

Identificadores relacionados

ALSA-2021:4585
ALSA-2021:4586
ALSA-2021:4587
ALSA-2021:4590
ALSA-2021:4591
ALSA-2021:4592
ALSA-2021:4593
ALSA-2021:4594
ALSA-2021:4595
ALSA-2021:4649
ALSA-2021:4743
ALSA-2021_4585
ALSA-2021_4586
ALSA-2021_4587
ALSA-2021_4590
ALSA-2021_4591
ALSA-2021_4592
ALSA-2021_4593
ALSA-2021_4594
ALSA-2021_4595
ALSA-2021_4649
ALSA-2021_4743
ALT-PU-2021-3225
ALT-PU-2021-3390
ALT-PU-2022-1106
ALT-PU-2022-2927
ALT-PU-2023-1135
ALT-PU-2023-4337
BDU:2021-05328
CESA-2021_4033
CESA-2021_4585
CESA-2021_4586
CESA-2021_4587
CESA-2021_4590
CESA-2021_4591
CESA-2021_4592
CESA-2021_4593
CESA-2021_4594
CESA-2021_4595
CESA-2021_4649
CESA-2021_4743
CESA-2022_1894
CVE-2021-42574
ELSA-2021-4033
ELSA-2021-4585
ELSA-2021-4586
ELSA-2021-4587
ELSA-2021-4590
ELSA-2021-4591
ELSA-2021-4592
ELSA-2021-4593
ELSA-2021-4594
ELSA-2021-4595
ELSA-2021-4649
ELSA-2021-4743
MGASA-2021-0517
OESA-2022-1501
OPENSUSE-SU-2024:11650-1
RHSA-2021:4033
RHSA-2021:4034
RHSA-2021:4035
RHSA-2021:4036
RHSA-2021:4037
RHSA-2021:4038
RHSA-2021:4039
RHSA-2021:4585
RHSA-2021:4586
RHSA-2021:4587
RHSA-2021:4588
RHSA-2021:4589
RHSA-2021:4590
RHSA-2021:4591
RHSA-2021:4592
RHSA-2021:4593
RHSA-2021:4594
RHSA-2021:4595
RHSA-2021:4596
RHSA-2021:4598
RHSA-2021:4599
RHSA-2021:4600
RHSA-2021:4601
RHSA-2021:4602
RHSA-2021:4649
RHSA-2021:4669
RHSA-2021:4694
RHSA-2021:4723
RHSA-2021:4724
RHSA-2021:4729
RHSA-2021:4730
RHSA-2021:4743
RHSA-2021_4033
RHSA-2021_4585
RHSA-2021_4586
RHSA-2021_4587
RHSA-2021_4590
RHSA-2021_4591
RHSA-2021_4592
RHSA-2021_4593
RHSA-2021_4594
RHSA-2021_4595
RHSA-2021_4649
RHSA-2021_4743
RHSA-2022_1894
RLSA-2021:4585
RLSA-2021:4586
RLSA-2021:4587
RLSA-2021:4590
RLSA-2021:4591
RLSA-2021:4592
RLSA-2021:4593
RLSA-2021:4594
RLSA-2021:4595
RLSA-2021:4649
RLSA-2021:4743
RLSA-2021_4585
RLSA-2021_4586
RLSA-2021_4587
RLSA-2021_4590
RLSA-2021_4591
RLSA-2021_4592
RLSA-2021_4593
RLSA-2021_4594
RLSA-2021_4595
RLSA-2021_4649
RLSA-2021_4743

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Bamboo
Centos
Debian
Jira
Jira Service Management Server
Jira Work Management
Red Hat
Rocky Linux
Unicode Specification