PT-2024-20552 · Atlassian+1 · Jira+2
Michael Kochell
·
Publicado
2024-02-09
·
Atualizado
2024-06-28
·
CVE-2024-24774
CVSS v4.0
4.8
Média
| Vetor | AV:N/AC:L/AT:N/PR:H/UI:P/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Mattermost Jira Plugin anteriores à 4.0.0-rc1
Versões do Mattermost até a 8.1.7
Descrição
O plug-in Mattermost Jira responsável pelo gerenciamento de assinaturas não verifica o nível de segurança de uma solicitação recebida nem o limita com base no usuário que criou a assinatura. Isso faz com que usuários registrados no Jira possam criar webhooks que lhes dão acesso a todas as solicitações do Jira.
Recomendações
Para versões do plug-in Mattermost Jira anteriores à 4.0.0-rc1, atualize para a versão 4.0.0-rc1 ou posterior para resolver o problema.
Para versões do Mattermost até a 8.1.7, atualize para uma versão posterior à 8.1.7 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao plug-in Jira para minimizar o risco de exploração.
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jira
Mattermost
Mattermost Jira Plugin