Уязвимость BDU:2022-04675

Дата: 25.02.2022. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-04675.

Наименование уязвимости: Уязвимость компонента Servlet Filter программных продуктов обработки данных Atlassian Jira, Jira Service Management, Confluence, Bitbucket, Bamboo, Crowd, Fisheye и Crucible, связанная с неправильным порядком поведения, позволяющая нарушителю обойти процедуру аутентификации и проводить межсайтовый скриптинг.

Описание уязвимости: Уязвимость компонента Servlet Filter программных продуктов обработки данных Atlassian Jira, Jira Service Management, Confluence, Bitbucket, Bamboo, Crowd, Fisheye и Crucible связана с неправильным порядком поведения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти процедуру аутентификации и проводить межсайтовый скриптинг
Уязвимое ПО: Прикладное ПО информационных систем Atlassian Confluence Server до 7.4.17 | Прикладное ПО информационных систем Atlassian Bamboo до 8.0.9 | Прикладное ПО информационных систем Atlassian Bamboo от 8.1.0 до 8.1.8 | Прикладное ПО информационных систем Atlassian Bamboo от 8.2.0 до 8.2.4 | Прикладное ПО информационных систем Atlassian Bitbucket Data Center до 7.6.16 | Прикладное ПО информационных систем Atlassian Bitbucket Data Center от 7.7.0 до 7.17.8 | Прикладное ПО информационных систем Atlassian Bitbucket Data Center от 7.18.0 до 7.19.5 | Прикладное ПО информационных систем Atlassian Bitbucket Data Center от 7.20.0 до 7.20.2 | Прикладное ПО информационных систем Atlassian Bitbucket Data Center от 7.21.0 до 7.21.2 | Прикладное ПО информационных систем Atlassian Bitbucket Data Center 8.0. 0 | Прикладное ПО информационных систем Atlassian Bitbucket Data Center 8.1.0 | Прикладное ПО информационных систем Atlassian Confluence Server от 7.5. 0 до 7.13.7 | Прикладное ПО информационных систем Atlassian Confluence Server от 7.14.0 до 7.14.3 | Прикладное ПО информационных систем Atlassian Confluence Server от 7.15.0 до 7.15.2 | Прикладное ПО информационных систем Atlassian Confluence Server от 7.16.0 до 7.16.4 | Прикладное ПО информационных систем Atlassian Confluence Server от 7.17.0 до 7.17.4 | Прикладное ПО информационных систем Atlassian Confluence Server 7.21.0 | Прикладное ПО информационных систем Atlassian Crowd до 4.3.8 | Прикладное ПО информационных систем Atlassian Crowd от 4.4.0 до 4.4.2 | Прикладное ПО информационных систем Atlassian Crowd 5.0.0 | Прикладное ПО информационных систем Atlassian Fisheye до 4.8.10 | Прикладное ПО информационных систем Atlassian Crucible до 4.8.10 | Прикладное ПО информационных систем Atlassian Jira Service Management до 4.13.22 | Прикладное ПО информационных систем Atlassian Jira Service Management от 4.14.0 до 4.20.10 | Прикладное ПО информационных систем Atlassian Jira Service Management от 4.21.0 до 4.22.4 | Прикладное ПО информационных систем Atlassian Jira до 8.13.22 | Прикладное ПО информационных систем Atlassian Jira от 8.14.0 до 8.20.10 | Прикладное ПО информационных систем Atlassian Jira от 8.21.0 до 8.22.4 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 25.02.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:P
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)

Возможные меры по устранению:
Использование рекомендаций:
https://jira.atlassian.com/browse/BAM-21795
https://jira.atlassian.com/browse/BSERV-13370
https://jira.atlassian.com/browse/CONFSERVER-79476
https://jira.atlassian.com/browse/CRUC-8541
https://jira.atlassian.com/browse/CWD-5815
https://jira.atlassian.com/browse/FE-7410
https://jira.atlassian.com/browse/JRASERVER-73897
https://jira.atlassian.com/browse/JSDSERVER-11863
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-26137.

Тип ошибки CWE: CWE-180
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://nvd.nist.gov/vuln/detail/CVE-2022-26137
https://jira.atlassian.com/browse/BAM-21795
https://jira.atlassian.com/browse/BSERV-13370
https://jira.atlassian.com/browse/CONFSERVER-79476
https://jira.atlassian.com/browse/CRUC-8541
https://jira.atlassian.com/browse/CWD-5815
https://jira.atlassian.com/browse/FE-7410
https://jira.atlassian.com/browse/JRASERVER-73897
https://jira.atlassian.com/browse/JSDSERVER-11863
https://vuldb.com/?id.204637

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *