CVE-2021-43954

Versões do Fisheye e do Crucible anteriores à 4.8.9

O problema está relacionado a uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) na classe DefaultRepositoryAdminService. Essa vulnerabilidade permite que invasores remotos com permissão para “adicionar repositório” enumerem a existência de recursos da rede interna e do sistema de arquivos. A vulnerabilidade se deve à validação insuficiente das solicitações recebidas, o que pode ser explorado por um invasor remoto para realizar um ataque SSRF.

Para versões anteriores à 4.8.9, atualize para a versão 4.8.9 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à classe DefaultRepositoryAdminService ou desativar a permissão “pode adicionar repositório” para minimizar o risco de exploração.