Vulnerabilidad en el archivo /secure/admin/InsightDefaultCustomFieldConfig.jspa en el campo "Object Schema" en Atlassian Jira Service Management Server y Data Center (CVE-2021-43943)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
24/02/2022
Última modificación:
07/03/2022
Descripción
Las versiones afectadas de Atlassian Jira Service Management Server y Data Center permiten a atacantes con privilegios de administrador inyectar HTML o JavaScript arbitrarios por medio de una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el campo "Object Schema" del archivo /secure/admin/InsightDefaultCustomFieldConfig.jspa. Las versiones afectadas son anteriores a la versión 4.21.0
Impacto
Puntuación base 3.x
4.80
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:atlassian:jira_service_management:*:*:*:*:data_center:*:*:* | 4.21.0 (excluyendo) | |
cpe:2.3:a:atlassian:jira_service_management:*:*:*:*:server:*:*:* | 4.21.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página