Fallo de autenticación en productos Jira de Atlassian
INCIBE-2023-0039
Jira Service Management Server y Data Center, versiones:
- 5.3.0;
- 5.3.1;
- 5.3.2;
- 5.4.0;
- 5.4.1;
- 5.5.0.
Atlassian ha notificado una vulnerabilidad crítica de fallo de autenticación en Jira Service Management Server y Data Center, que podría permitir a un atacante suplantar a otro usuario y obtener acceso a una instancia de Jira Service Management.
Actualizar Jira Service Management Server y Data Center a las versiones:
- 5.3.3;
- 5.4.2;
- 5.5.1;
- 5.6.0 o posteriores.
Un atacante con acceso de escritura a un directorio de usuarios y correo electrónico saliente habilitado en una instancia de gestión de servicios de Jira, podría obtener acceso a tokens de registro enviados a usuarios con cuentas en las que nunca se ha iniciado sesión. El atacante podría acceder a estas fichas si le incluyen en las incidencias o solicitudes de Jira con estos usuarios, o también si es reenviado o accede de otro modo a correos electrónicos que contengan un enlace View Request de estos usuarios. Se ha asignado el identificador CVE-2023-22501 para esta vulnerabilidad.