CH azonosító
CH-7903Angol cím
Atlassian JIRA Script Runner Plugin Cross-Site Request Forgery VulnerabilityFelfedezés dátuma
2012.11.07.Súlyosság
AlacsonyÉrintett rendszerek
AtlassianJIRA Script Runner plugin
Érintett verziók
Atlassian JIRA Script Runner Plugin 2.x
Összefoglaló
Az Atlassian JIRA Script Runner bővítményének olyan sérülékenységét jelentették, amelyet a támadók kihasználva cross-site request forgery (XSRF/CSRF) támadásokat hajthatnak végre.
Leírás
Az alkalmazás lehetővé tesz bizonyos műveleteket HTTP kéréseken keresztül a kérések ellenőrzése nélkül. Ezt kihasználva például classloader vagy belső JIRA tárolók (cache) üríthetőek ki amennyiben a bejelentkezett rendszergazda meglátogat egy kártékony kódot tartalmazó weboldalt.
A sérülékenységet a 2.0.7 verzióban jelentették. Korábbi verziók is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Misconfiguration (Konfiguráció)
Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 51195
Gyártói referencia: marketplace.atlassian.com