9VSA22-00734-01 CSIRT alerta ante vulnerabilidades en Atlassian Jira Align
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT de Gobierno, comparte información sobre dos vulnerabilidades dadas a conocer y que afectan a Atlassian Jira Align.
Vulnerabilidades
CVE-2022-36802
CVE-2022-36803
Impacto
Vulnerabilidades de riesgo alto
CVE-2022-36802: Una vulnerabilidad es del tipo server-side request forgery (SSRF) en la configuración de Connectors, lo que permite a un usuario obtener credenciales de una cuenta de servicio Atlassian.
CVE-2022-36803: Controles de Autorización Insuficientes en “People” permiten que cualquier usuario con estos permisos modifique su propio rol al de Super Admin.
Productos afectados
Atlassian Jira Align 10.107.4
Mitigación
Actualizar a la versión 10.109.3 o más nueva.
Enlaces
https://bishopfox.com/blog/jira-align-advisory
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-36802
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-36803
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA22-00734-01.