Vulnerabilidad de omisión de autenticación en productos Atlassian
- Jira Core Server, Jira Software Server y Jira Software Data Center, versiones:
- anteriores a 8.13.18;
- 8.14.x;
- 8.15.x;
- 8.16.x;
- 8.17.x;
- 8.18.x;
- 8.19.x;
- 8.20.x anteriores a 8.20.6;
- 8.21.x.
- Jira Service Management Server y Jira Service Management Data Center, versiones:
- anteriores a 4.13.18;
- 4.14.x;
- 4.15.x;
- 4.16.x;
- 4.17.x;
- 4.18.x;
- 4.19.x;
- 4.20.x anteriores a 4.20.6;
- 4.21.x.
Asimismo, en el apartado List of affected Atlassian Marketplace Apps se proporciona un listado de las aplicaciones del marketplace de Atlassian afectadas por esta vulnerabilidad.
Khoadha, de Viettel Cyber Security, ha notificado al fabricante una vulnerabilidad de severidad crítica. Un atacante remoto no autenticado podría enviar una petición HTTP, especialmente diseñada para saltarse los requisitos de autenticación y autorización en las acciones de WebWork, mediante el uso de una configuración afectada.
- Actualizar Jira Core Server, Jira Software Server y Jira Software Data Center desde las páginas de descarga de Jira Core o Jira Software a las versiones:
- 8.13.18 o superiores en la rama 8.13.x;
- 8.20.6 o superiores en la rama 8.20.x;
- 8.22.0 o superiores.
- Actualizar Jira Service Management Server y Jira Service Management Data Center desde la página de descarga de Jira Service Management a las versiones:
- 4.13.18 o superiores en la rama 4.13.x;
- 4.20.6 o superiores en la rama 4.20.x;
- 4.22.0 o superiores.
Aunque la vulnerabilidad está en el core de Jira afecta a las aplicaciones de primera y tercera parte que especifican roles-required en el nivel de namespace de la acción webwork1 y no los especifican en el nivel de action. Para que una acción específica se vea afectada no tendrá que realizar ninguna otra comprobación de autenticación o autorización. Se ha asignado el identificador CVE-2022-0540 para esta vulnerabilidad.
