Vulnerabilidad en el endpoint /WEB-INF/web.xml en Atlassian Jira Server y Data Center (CVE-2021-26086)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
16/08/2021
Última modificación:
24/10/2025
Descripción
Las versiones afectadas de Atlassian Jira Server y Data Center, permiten a atacantes remotos leer archivos particulares por medio de una vulnerabilidad de salto de ruta en el endpoint /WEB-INF/web.xml. Las versiones afectadas son anteriores a 8.5.14, desde versión 8.6.0 anteriores a 8.13.6, y desde versión 8.14.0 anteriores a 8.16.1.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:atlassian:jira_data_center:*:*:*:*:*:*:*:* | 8.5.14 (excluyendo) | |
| cpe:2.3:a:atlassian:jira_data_center:*:*:*:*:*:*:*:* | 8.6.0 (incluyendo) | 8.13.6 (excluyendo) |
| cpe:2.3:a:atlassian:jira_data_center:*:*:*:*:*:*:*:* | 8.14.0 (incluyendo) | 8.16.1 (excluyendo) |
| cpe:2.3:a:atlassian:jira_server:*:*:*:*:*:*:*:* | 8.5.14 (excluyendo) | |
| cpe:2.3:a:atlassian:jira_server:*:*:*:*:*:*:*:* | 8.6.0 (incluyendo) | 8.13.6 (excluyendo) |
| cpe:2.3:a:atlassian:jira_server:*:*:*:*:*:*:*:* | 8.14.0 (incluyendo) | 8.16.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/164405/Atlassian-Jira-Server-Data-Center-8.4.0-File-Read.html
- https://jira.atlassian.com/browse/JRASERVER-72695
- http://packetstormsecurity.com/files/164405/Atlassian-Jira-Server-Data-Center-8.4.0-File-Read.html
- https://jira.atlassian.com/browse/JRASERVER-72695
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-26086