Falsificación de solicitud del lado del servidor de lectura completa en el complemento móvil para Jira Data Center y Server

Este aviso recientemente publicado por Atlassian revela una vulnerabilidad de seguridad de alta gravedad identificada como CVE-2022-26135.

Impacto de la vulnerabilidad

Existe una falsificación de solicitud del lado del servidor de lectura completa en Mobile Plugin para Jira, que se incluye con Jira y Jira Service Management. Es explotable por cualquier usuario autenticado (incluido un usuario que se unió a través de la función de registro). Afecta específicamente al endpoint HTTP por lotes que se usa en Mobile Plugin para Jira. Es posible controlar el método HTTP y la ubicación de la URL deseada a través del parámetro de método en el cuerpo del endpoint vulnerable.

Productos afectados

Los productos y versiones que se ven afectados por esta vulnerabilidad son :

Jira Core Server, Jira Software Server, and Jira Software Data Center:

• Versiones posteriores a la 8.0 y anteriores a la 8.13.22
• 8.14.x
• 8.15.x
• 8.16.x
• 8.17.x
• 8.18.x
• 8.19.x
• 8.20.x antes del 8.20.10
• 8.21.x
• 8.22.x antes del 8.22.4

Jira Service Management Server and Data Center:

• Versiones posteriores a la 4.0 y anteriores a la 4.13.22
• 4.14.x
• 4.15.x
• 4.16.x
• 4.17.x
• 4.18.x
• 4.19.x
• 4.20.x antes del 4.20.10
• 4.21.x
• 4.22.x antes del 4.22.4

Es importante mencionar de que Jira Cloud y Jira Service Management Cloud no se ven afectadas.

Versiones Corregidas

Las versiones corregidas son las siguientes:

Jira Core Server, Jira Software Server, and Jira Software Data Center:

• 8.13.x >= 8.13.22
• 8.20.x >= 8.20.10
• 8.22.x >= 8.22.4
• 9.0.0

Jira Service Management Server and Data Center:

• 4.13.x >= 4.13.22
• 4.20.x >= 4.20.10
• 4.22.x >= 4.22.4
• 5.0.0

Puede descargar las últimas versiones desde las páginas de descarga de Jira Core, Jira Software o Jira Service Management.

Mitigación

Instalar una versión corregida de Jira o Jira Service Management es la forma más segura de remediar CVE-2022-26135. Si no puede actualizar inmediatamente Jira o Jira Service Management, como solución temporal, se puede actualizar manualmente Mobile Plugin para Jira Data Center and Server (com.atlassian.jira.mobile.jira-mobile-rest) para las versiones especificadas en esta sección o deshabilitar el plugin.

Las siguientes versiones de la aplicación Mobile Plugin for Jira contienen una solución para este problema :

• 3.1.5 (solo compatible con Jira 8.13.x y JSM 4.13.x)
• 3.2.15 (solo compatible con Jira 8.20.x – 8.22.x, solo compatible con JSM 4.20.x – 4.22.x)

Si está en Jira 8.13.x o JSM 4.13.x y ha actualizado anteriormente más allá de la versión predeterminada de la aplicación de 3.1.x, la actualización a 3.1.5 revertirá de manera efectiva cualquier corrección de errores y funciones introducidas en versiones posteriores.

Recomendaciones

• Si se accede a su sitio de Jira a través de un dominio atlassian.net, no se verá afectado por la vulnerabilidad.
• Los clientes que hayan actualizado a la versión 8.13.22, 8.20.10, 8.22.4 o 9.0.0 de Jira Server o Data Center no se verán afectados.
• Los clientes que hayan actualizado a la versión 4.13.22, 4.20.10, 4.22.4 o 5.0.0 de Jira Service Management Server o Data Center no se verán afectados.
• Los clientes que hayan descargado e instalado cualquiera de las versiones enumeradas en las versiones afectadas deben actualizar sus instalaciones para corregir esta vulnerabilidad.

Para mayor información

• https://confluence.atlassian.com/jira/jira-server-security-advisory-29nd-june-2022-1142430667.html?subid=1519350244&jobid=105629213&utm_campaign=Jira+Server+and+Data+Center-advisory-june-2022_EML-13421&utm_medium=email&utm_source=alert-email
• https://confluence.atlassian.com/kb/faq-for-cve-2022-26135-1142439167.html
• https://marketplace.atlassian.com/apps/1220151/mobile-plugin-for-jira-data-center-and-server?tab=overview&hosting=datacenter
• https://www.atlassian.com/trust/security/bug-fix-policy