Múltiples vulnerabilidades en Jira Server y Jira Data Center de Atlassian

ANÁLISIS 

A continuación se detallan con más detalle cada una de las vulnerabilidades encontradas: 

En primer lugar, la vulnerabilidad identificada como CVE-2021-41304, trata de un Cross-Site Scripting (XSS) que permitía la inyección remota de código HTML o JavaScript en un mensaje de error, situado en /secure/admin/ImporterFinishedPage.jspa [2]. Dicha vulnerabilidad tiene una puntuación CVSS v3 de 4.2, por lo que se considera de severidad media[3]. 

Las versiones afectadas son:
    - Jira_Server < 8.13.12
    - Jira_Server >= 8.14.0
    - Jira_Server < 8.20.1
    - Jira_Data_Center < 8.13.12
    - Jira_Data_Center >= 8.14.0
    - Jira_Data_Center < 8.20.1

En segundo lugar, la vulnerabilidad con CVE-2021-41305,  permite a los atacantes ver nombres de proyectos privados mediante una vulnerabilidad de referencia insegura (IDOR) en el"Average Number of Times in Status" gadget [4]. Esta vulnerabilidad resulta cuando una aplicación utiliza la entrada proporcionada por el usuario para acceder directamente a objetos internos [5]. Además cuenta con una puntuación CVSS v3 de 5.3, por lo que se considera de severidad media [6]. 

Las versiones afectadas son:
    - Jira_Server < 8.13.12

En tercer lugar, la vulnerabilidad a la que se le ha asignado CVE-2021-41306,  también posibilita  a los atacantes ver nombres de proyectos privados mediante una vulnerabilidad de referencia insegura (IDOR) en el campo"Average Number of Times in Status" gadget [7]. Dicha vulnerabilidad resulta cuando una aplicación utiliza la entrada proporcionada por el usuario para acceder directamente a objetos internos. La vulnerabilidad tiene una puntuación media de  CVSS v3 de 5.3 [8]. 

No obstante, las versiones afectadas son:
    - Jira_Server < 8.13.12
    - Jira_Server >= 8.14.0
    - Jira_Server < 8.20.0
    - Jira_Data_Center < 8.13.12
    - Jira_Data_Center >= 8.14.0
    - Jira_Data_Center < 8.20.0

En cuarto lugar, la vulnerabilidad identificada como CVE-2021-41307, permite a los atacantes ver nombres de proyectos privados mediante una vulnerabilidad de referencia insegura (IDOR) en el "Workload Pie Chart" gadget [9]. La vulnerabilidad tiene una puntuación CVSS v3 de 5.3, por lo que se considera de severidad media [10]. 

Las versiones afectadas son:
    - Jira_Server < 8.13.12
    - Jira_Server >= 8.14.0
    - Jira_Server < 8.20.0

En quinto lugar, la vulnerabilidad con CVE-2021-41308, hace posible que usuarios autenticados, sin permisos de administrador, editen la configuración de replicación de archivos [11], lo cual es posible gracias a una vulnerabilidad de acceso roto en "ReplicationSettings!default.jspa". Dicha vulnerabilidad cuenta con una puntuación de severidad media de 4.9 [12]. 

Los recursos afectados por esta vulnerabilidad son: 
    - Jira_Server < 8.6.0
    - Jira_Server >= 8.7.0
    - Jira_Server < 8.13.12
    - Jira_Server >= 8.14.0
    - Jira_Server < 8.20.0
    - Jira_Data_Center < 8.6.0
    - Jira_Data_Center >= 8.7.0
    - Jira_Data_Center < 8.13.12
    - Jira_Data_Center >= 8.14.0
    - Jira_Data_Center < 8.20.1

RECOMENDACIONES

Aunque por el momento las vulnerabilidades no cuenten con elevada criticidad, se ha decidido emitir la alerta dado que se trata de un conjunto de vulnerabilidades en un software muy extendido y en algunas ocasiones expuesto al exterior. Por ello, se recomienda actualizar a las versiones indicadas por el fabricante lo antes posible. 

REFERENCIAS 

[1] https://cve.report/
[2] https://cve.report/CVE-2021-41304
[3] https://jira.atlassian.com/browse/JRASERVER-72939
[4] https://cve.report/CVE-2021-41305
[5] https://portswigger.net/web-security/access-control/idor
[6] https://jira.atlassian.com/browse/JRASERVER-72813
[7] https://cve.report/CVE-2021-41306
[8] https://jira.atlassian.com/browse/JRASERVER-72915
[9] https://cve.report/CVE-2021-41307
[10] https://jira.atlassian.com/browse/JRASERVER-72916
[11] https://cve.report/CVE-2021-41308
[12] https://jira.atlassian.com/browse/JRASERVER-72940