Falsificación de solicitud del lado del servidor de lectura completa en el complemento móvil para Jira Data Center y Server

Este aviso recientemente publicado por Atlassian revela una vulnerabilidad de seguridad de alta gravedad identificada como CVE-2022-26135.

Impacto de la vulnerabilidad

Existe una falsificación de solicitud del lado del servidor de lectura completa en Mobile Plugin para Jira, que se incluye con Jira y Jira Service Management. Es explotable por cualquier usuario autenticado (incluido un usuario que se unió a través de la función de registro). Afecta específicamente al endpoint HTTP por lotes que se usa en Mobile Plugin para Jira. Es posible controlar el método HTTP y la ubicación de la URL deseada a través del parámetro de método en el cuerpo del endpoint vulnerable.

Productos afectados

Los productos y versiones que se ven afectados por esta vulnerabilidad son :

Jira Core Server, Jira Software Server, and Jira Software Data Center:

  • Versiones posteriores a la 8.0 y anteriores a la 8.13.22
  • 8.14.x
  • 8.15.x
  • 8.16.x
  • 8.17.x
  • 8.18.x
  • 8.19.x
  • 8.20.x antes del 8.20.10
  • 8.21.x
  • 8.22.x antes del 8.22.4

Jira Service Management Server and Data Center:

  • Versiones posteriores a la 4.0 y anteriores a la 4.13.22
  • 4.14.x
  • 4.15.x
  • 4.16.x
  • 4.17.x
  • 4.18.x
  • 4.19.x
  • 4.20.x antes del 4.20.10
  • 4.21.x
  • 4.22.x antes del 4.22.4

Es importante mencionar de que Jira Cloud y Jira Service Management Cloud no se ven afectadas.

Versiones Corregidas

Las versiones corregidas son las siguientes:

Jira Core Server, Jira Software Server, and Jira Software Data Center:

  • 8.13.x >= 8.13.22
  • 8.20.x >= 8.20.10
  • 8.22.x >= 8.22.4
  • 9.0.0

Jira Service Management Server and Data Center:

  • 4.13.x >= 4.13.22
  • 4.20.x >= 4.20.10
  • 4.22.x >= 4.22.4
  • 5.0.0

Puede descargar las últimas versiones desde las páginas de descarga de Jira Core, Jira Software o Jira Service Management.

Mitigación

Instalar una versión corregida de Jira o Jira Service Management es la forma más segura de remediar CVE-2022-26135. Si no puede actualizar inmediatamente Jira o Jira Service Management, como solución temporal, se puede actualizar manualmente Mobile Plugin para Jira Data Center and Server (com.atlassian.jira.mobile.jira-mobile-rest) para las versiones especificadas en esta sección o deshabilitar el plugin.

Las siguientes versiones de la aplicación Mobile Plugin for Jira contienen una solución para este problema :

  • 3.1.5 (solo compatible con Jira 8.13.x y JSM 4.13.x)
  • 3.2.15 (solo compatible con Jira 8.20.x – 8.22.x, solo compatible con JSM 4.20.x – 4.22.x)

Si está en Jira 8.13.x o JSM 4.13.x y ha actualizado anteriormente más allá de la versión predeterminada de la aplicación de 3.1.x, la actualización a 3.1.5 revertirá de manera efectiva cualquier corrección de errores y funciones introducidas en versiones posteriores.

Recomendaciones

  • Si se accede a su sitio de Jira a través de un dominio atlassian.net, no se verá afectado por la vulnerabilidad.
  • Los clientes que hayan actualizado a la versión 8.13.22, 8.20.10, 8.22.4 o 9.0.0 de Jira Server o Data Center no se verán afectados.
  • Los clientes que hayan actualizado a la versión 4.13.22, 4.20.10, 4.22.4 o 5.0.0 de Jira Service Management Server o Data Center no se verán afectados.
  • Los clientes que hayan descargado e instalado cualquiera de las versiones enumeradas en las versiones afectadas deben actualizar sus instalaciones para corregir esta vulnerabilidad.

Para mayor información