Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades que afectan a Atlassian Jira Align Server que permitirían a un atacante realizar ataques del tipo server-side request forgery (SSRF), así como escalamiento de privilegios.
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Alta” y 1 (una) de severidad “Media”. Las cuales se detallan a continuación:
- CVE-2022-36803, con severidad “alta” y puntuación asignada de 8.8. Esta vulnerabilidad se debe a una falla en la API MasterUserEdit de Atlassian Jira Align Server. Un atacante autenticado podría realizar escalamiento de privilegios modificando el rol a Super Admin.
- CVE-2022-36802, con severidad “media” y puntuación asignada de 4.9 Esta vulnerabilidad se debe a un problema en la API ManageJiraConnectors de Atlassian Jira Align. Un atacante remoto podría acceder a recursos de la red interna a través de una falsificación de solicitudes, mediante el envío de una solicitud HTTP especialmente diseñada.
Las versiones afectadas de Atlassian Jira Align Server son:
- Versión 10.107.4 y anteriores a 10.109.2.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace de soporte:
Referencias: