PT-2022-3496 · Atlassian · Jira Management Server And+2
Dylan Pindur
+1
·
Publicado
2022-06-30
·
Atualizado
2024-10-29
·
CVE-2022-26135
CVSS v2.0
7.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Atlassian Jira Server e Data Center, versões 8.0.0 a 8.13.21
Atlassian Jira Server e Data Center, versões 8.14.0 a 8.20.9
Atlassian Jira Server e Data Center versões 8.21.0 a 8.22.3
Jira Management Server e Data Center versões 4.0.0 a 4.13.21
Jira Management Server e Data Center versões 4.14.0 a 4.20.9
Jira Management Server e Data Center versões 4.21.0 a 4.22.3
Descrição
A vulnerabilidade está relacionada à verificação insuficiente de solicitações no lado do servidor, permitindo que um usuário remoto autenticado execute uma falsificação de solicitação de leitura completa no lado do servidor por meio de um endpoint de lote. Isso pode ser explorado para realizar ataques SSRF.
Recomendações
Para o Atlassian Jira Server e Data Center versões 8.0.0 a 8.13.21, atualize para a versão 8.13.22 ou posterior.
Para o Atlassian Jira Server e Data Center versões 8.14.0 a 8.20.9, atualize para a versão 8.20.10 ou posterior.
Para as versões 8.21.0 a 8.22.3 do Atlassian Jira Server e Data Center, atualize para a versão 8.22.4 ou posterior.
Para as versões 4.0.0 a 4.13.21 do Jira Management Server e Data Center, atualize para a versão 4.13.22 ou posterior.
Para as versões 4.14.0 a 4.20.9 do Jira Management Server e Data Center, atualize para a versão 4.20.10 ou posterior.
Para as versões 4.21.0 a 4.22.3 do Jira Management Server e Data Center, atualize para a versão 4.22.4 ou posterior.
Como solução alternativa temporária, considere restringir o acesso ao endpoint de lote para minimizar o
Exploit
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jira
Jira Management Server And
Jira Service Management Server