INCIBE día 22/04/2022 ha publicado una vulnerabilidad en los productos de JIRA con nivel de importancia crítica.
Jira y Jira Service Management son vulnerables a un bypass de autenticación en su marco de autenticación web, Jira Seraph. Aunque la vulnerabilidad está en el núcleo de Jira, afecta a las aplicaciones propias y de terceros que especifican los roles necesarios al nivel de espacio de nombres de acción webwork1 y no lo especifican a nivel de acción. Para que una acción específica se vea afectada, la acción también deberá no realizar ninguna otra comprobación de autenticación o autorización.
Un atacante remoto y no autenticado podría explotarlo enviando una solicitud HTTP especialmente diseñada para evitar los requisitos de autenticación y autorización a las acciones de WebWork mediante una configuración afectada.
Más información en la web de Soporte de ATLASSIAN.