Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el recurso EditApplinkServlet en "WebSudo" en el plugin Atlassian Application Links (CVE-2019-20105)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-306 Ausencia de autenticación para una función crítica
Fecha de publicación:
17/03/2020
Última modificación:
24/08/2020

Descripción

El recurso EditApplinkServlet en el plugin Atlassian Application Links versiones anteriores a 5.4.20, desde versión 6.0.0 anterior a versión 6.0.12, desde versión 6.1.0 anterior a versión 6.1.2, desde versión 7.0.0 anterior a versión 7.0.1, y desde versión 7.1.0 anterior a versión 7.1.3, permite a atacantes remotos que han obtenido acceso a la sesión de administrador acceder al recurso EditApplinkServlet sin ser necesario volver a autenticarse para aprobar "WebSudo" en productos que admiten "WebSudo" por medio de una vulnerabilidad de control de acceso inapropiado.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:atlassian:application_links:*:*:*:*:*:*:*:* 5.4.20 (incluyendo)
cpe:2.3:a:atlassian:application_links:*:*:*:*:*:*:*:* 6.0.0 (incluyendo) 6.0.12 (incluyendo)
cpe:2.3:a:atlassian:application_links:*:*:*:*:*:*:*:* 6.1.0 (incluyendo) 6.1.2 (excluyendo)
cpe:2.3:a:atlassian:application_links:*:*:*:*:*:*:*:* 7.1.0 (incluyendo) 7.1.3 (excluyendo)
cpe:2.3:a:atlassian:application_links:7.0.0:*:*:*:*:*:*:*