Atlassian emitió un aviso de seguridad sobre una vulnerabilidad crítica en su software Jira que podría ser explotada por un atacante remoto no autenticado para evitar las protecciones de autenticación.
La vulnerabilidad se rastrea como CVE-2022-0540, tiene una calificación de 9,9 sobre 10 en el sistema de puntuación CVSS y reside en el marco de autenticación de Jira, Jira Seraph. Una vulnerabilidad en Jira Seraph permite que un atacante remoto no autenticado eluda la autenticación mediante el envío de una solicitud HTTP especialmente diseñada.
Atlassian también señaló que la vulnerabilidad solo afecta a las aplicaciones propias y de terceros si están instaladas en una de las versiones mencionadas de Jira o Jira Service Management y utilizan una configuración vulnerable.
Versiones afectadas:
- Jira Core Server, Jira Software Server y Jira Software Data Center, versiones:
- anteriores a la 8.13.18
- 8.14.x
- 8.15.x
- 8.16.x
- 8.17.x
- 8.18.x
- 8.19.x
- 8.20.x anteriores a la 8.20. 6
- 8.21.x
- Jira Service Management Server y Jira Service Management Data Center, versiones:
- anteriores a 4.13.18
- 4.14.x
- 4.15.x
- 4.16.x
- 4.17.x
- 4.18.x
- 4.19.x
- 4.20.x anteriores a 4.20.6
- 4.21.x
Recomendaciones:
Se recomienda realizar actualizaciones hacia versiones parcheadas para mitigar posibles intentos de explotación.
- Actualizar Jira Core Server, Jira Software Server y Jira Software Data Center desde las páginas de descarga de Jira Core o Jira Software a las versiones:
- 8.13.18 o superiores en la rama 8.13.x;
- 8.20.6 o superiores en la rama 8.20.x;
- 8.22.0 o superiores.
- Actualizar Jira Service Management Server y Jira Service Management Data Center desde la página de descarga de Jira Service Management a las versiones:
- 4.13.18 o superiores en la rama 4.13.x;
- 4.20.6 o superiores en la rama 4.20.x;
- 4.22.0 o superiores.
Para mayor información: