INCIBE dia 22/04/2022 ha publicat una vulnerabilitat en els productes de JIRA amb nivel d’importància crítica.
Jira i Jira Service Management són vulnerables a un bypass d’autenticació al seu marc d’autenticació web, Jira Seraph. Tot i que la vulnerabilitat és al nucli de Jira, afecta les aplicacions pròpies i de tercers que especifiquen els rols necessaris al nivell d’espai de noms d’acció webwork1 i no ho especifiquen a nivell d’acció. Perquè una acció específica es vegi afectada, l’acció també haurà de no realitzar cap altra comprovació d’autenticació o autorització.
Un atacant remot i no autenticat podria explotar-ho enviant una sol·licitud HTTP especialment dissenyada per evitar els requisits d’autenticació i autorització a les accions de WebWork mitjançant una configuració afectada.
Més informació a la web de Suport d’ATLASSIAN.