PT-2022-25148 · Atlassian+1 · Jira+1
Publicado
2022-09-17
·
Atualizado
2022-09-21
·
CVE-2022-39960
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
O complemento Netic Group Export para versões do Atlassian Jira anteriores à 1.0.3
Descrição
O problema está relacionado à falta de verificações de autorização no software afetado. Isso pode permitir que um usuário não autenticado exporte todos os grupos da instância do Jira, enviando uma solicitação
groupexport download=true para um URI “plugins/servlet/groupexportforjira/admin/”.Recomendações
Para versões anteriores à 1.0.3, atualize para a versão 1.0.3 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à URI “plugins/servlet/groupexportforjira/admin/” para impedir exportações não autorizadas de grupos.
Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jira
Netic Group Export Add-On