Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad del tipo Server Side Request Forgery (ssrf) que afecta a varias versiones de Atlassian Jira Server y Data Center, que permitiría a un atacante realizar solicitudes URL especialmente diseñadas y poner en peligro el sistema afectado.
La vulnerabilidad identificada como CVE-2022-26135, de severidad «alta» y sin puntuación asignada aún. Esta se debe a se debe a una falla en el Jira Server Core, que permitiría a un atacante realizar solicitudes a URL arbitrarias, con cualquier método HTTP y acceder a información confidencial o realizar escalamiento de privilegios. Actualmente para esta vulnerabilidad, existen varios PoC publicados en internet.
Algunos productos afectados son:
- Jira Core Server, versiones 8.14.x, 8.15.x, 8.16.x, 8.17.x, 8.18.x, 8.19.x, 8.20.x y versiones anteriores a 8.20.10, 8.21.x, 8.22.x y versiones anteriores a 8.22.4
- Jira Software Server, versiones 8.14.x, 8.15.x, 8.16.x, 8.17.x, 8.18.x, 8.19.x, 8.20.x y versiones anteriores a 8.20.10, 8.21.x, 8.22.x y versiones anteriores a 8.22.4
- Jira Software Data Center, versiones 8.14.x, 8.15.x, 8.16.x, 8.17.x, 8.18.x, 8.19.x, 8.20.x y versiones anteriores a 8.20.10, 8.21.x, 8.22.x y versiones anteriores a 8.22.4
Puede acceder al listado completo de productos afectados en el siguiente enlace.
Se recomienda acceder a las actualizaciones proporcionadas por Atlassian en el siguiente enlace:
Nota: En caso de no poder actualizar mediante el enlace proporcionado, recomendamos deshabilitar el complemento com.atlassian.jira.mobile.jira-mobile-rest.
Referencias: