Vulnerabilidad en los filtros Servlet en varios productos de Atlassian (CVE-2022-26136)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
20/07/2022
Última modificación:
03/10/2024
Descripción
Una vulnerabilidad en varios productos de Atlassian permite a un atacante remoto no autenticado omitir los filtros Servlet usados por aplicaciones de primera y tercera parte. El impacto depende de los filtros usados por cada aplicación y de cómo son usados los filtros. Esta vulnerabilidad puede resultar en una omisión de la autenticación y un ataque de tipo cross-site scripting. Atlassian ha publicado actualizaciones que corrigen la causa principal de esta vulnerabilidad, pero no ha enumerado exhaustivamente todas las consecuencias potenciales de esta vulnerabilidad. Están afectadas las versiones de Atlassian Bamboo anteriores a 8.0.9, desde 8.1.0 hasta 8.1.8, y desde la 8.2.0 hasta 8.2.4. Las versiones de Atlassian Bitbucket están afectadas anteriores a 7.6.16, desde la 7.7.0 anteriores a 7.17.8, desde la 7.18.0 anteriores a 7.19.5, desde la 7.20.0 anteriores a 7.20.2, desde la 7.21.0 anteriores a 7.21.2, y las versiones 8.0.0 y 8.1.0. Están afectadas las versiones de Atlassian Confluence anteriores a 7.4.17, desde la 7.5.0 anteriores a 7.13.7, desde la 7.14.0 anteriores a 7.14.3, desde la 7.15.0 anteriores a 7.15.2, desde la 7.16.0 anteriores a 7.16.4, desde la 7.17.0 anteriores a 7.17.4 y la versión 7.21.0. Están afectadas las versiones de Atlassian Crowd anteriores a 4.3.8, desde la 4.4.0 hasta 4.4.2, y la versión 5.0.0. Están afectadas las versiones de Atlassian Fisheye y Crucible anteriores a 4.8.10. Están afectadas las versiones de Atlassian Jira anteriores a 8.13.22, desde la 8.14.0 hasta 8.20.10, y desde la 8.21.0 hasta 8.22.4. Las versiones de Atlassian Jira Service Management están afectadas anteriores a 4.13.22, desde la 4.14.0 anteriores a 4.20.10, y desde la 4.21.0 anteriores a 4.22.4
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:atlassian:bamboo:*:*:*:*:*:*:*:* | 7.2.0 (incluyendo) | 7.2.10 (excluyendo) |
| cpe:2.3:a:atlassian:bamboo:*:*:*:*:*:*:*:* | 8.0.0 (incluyendo) | 8.0.9 (excluyendo) |
| cpe:2.3:a:atlassian:bamboo:*:*:*:*:*:*:*:* | 8.1.0 (incluyendo) | 8.1.8 (excluyendo) |
| cpe:2.3:a:atlassian:bamboo:*:*:*:*:*:*:*:* | 8.2.0 (incluyendo) | 8.2.4 (excluyendo) |
| cpe:2.3:a:atlassian:bitbucket:*:*:*:*:*:*:*:* | 7.6.16 (excluyendo) | |
| cpe:2.3:a:atlassian:bitbucket:*:*:*:*:*:*:*:* | 7.7.0 (incluyendo) | 7.17.8 (excluyendo) |
| cpe:2.3:a:atlassian:bitbucket:*:*:*:*:*:*:*:* | 7.18.0 (incluyendo) | 7.19.5 (excluyendo) |
| cpe:2.3:a:atlassian:bitbucket:*:*:*:*:*:*:*:* | 7.20.0 (incluyendo) | 7.20.2 (excluyendo) |
| cpe:2.3:a:atlassian:bitbucket:*:*:*:*:*:*:*:* | 7.21.0 (incluyendo) | 7.21.2 (excluyendo) |
| cpe:2.3:a:atlassian:bitbucket:8.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:atlassian:bitbucket:8.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:* | 7.4.17 (excluyendo) | |
| cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:* | 7.5.0 (incluyendo) | 7.13.7 (excluyendo) |
| cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:* | 7.14.0 (incluyendo) | 7.14.3 (excluyendo) |
| cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:* | 7.15.0 (incluyendo) | 7.15.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://jira.atlassian.com/browse/BAM-21795
- https://jira.atlassian.com/browse/BSERV-13370
- https://jira.atlassian.com/browse/CONFSERVER-79476
- https://jira.atlassian.com/browse/CRUC-8541
- https://jira.atlassian.com/browse/CWD-5815
- https://jira.atlassian.com/browse/FE-7410
- https://jira.atlassian.com/browse/JRASERVER-73897
- https://jira.atlassian.com/browse/JSDSERVER-11863