Vulnerabilidad de omisión de autenticación en Jira y Jira Service Management

---

21/04/2022

Se ha reportado una vulnerabilidad en el núcleo de Jira, que permitiría a un atacante realizar escalamiento de privilegios, omitiendo los requisitos de autenticación y autorización de la plataforma.

La vulnerabilidad reportada es denominada CVE-2022-0540, con severidad crítica y una puntuación asignada de 9.9. Esta se debe a un fallo desconocido que afectaría a varias versiones de Atlassian Jira Server y Data Center, que permitiría a un atacante remoto no autenticado omitir la autenticación mediante el envío de una solicitud HTTP especialmente diseñada.

Los productos afectados de Jira son:

• Jira, todas las versiones anteriores a 8.13.18, 8.14.x, 8.15.x, 8.16.x, 8.17.x, 8.18.x, 8.19.x, 8.20.x y antes de 8.20.6.21.x.
• Jira Service Management, todas las versiones anteriores a 4.13.18, 4.14.x, 4.15.x, 4.16.x, 4.17.x, 4.18.x, 4.19.x, 4.20.x y antes de 4.20.6, 4.21.x.

Se puede acceder al listado completo de los productos afectados aquí.

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace:

• https://confluence.atlassian.com/upm/updating-apps-273875710.html

Referencias:

• https://confluence.atlassian.com/jira/jira-security-advisory-2022-04-20-1115127899.html
• https://www.atlassian.com/software/jira/update
• https://www.atlassian.com/software/jira/core/download
• https://www.atlassian.com/software/jira/service-management/update
• https://confluence.atlassian.com/upm/updating-apps-273875710.html
• https://nvd.nist.gov/vuln/detail/CVE-2022-0540