Atlassian Jira Service Desk < 4.13.22 の複数の脆弱性

critical Web App Scanning プラグイン ID 113887

Language:

概要

説明

自己報告されたバージョン番号によると、リモートホストで実行されている Atlassian Jira Service Desk アプリケーションは、バージョン 4.20.10 より前のバージョン 4.14.0 または 4.22.4 より前の 4.21.0 です。そのため、以下の複数の脆弱性の影響を受けます。

- 認証されたリモートの攻撃者が、バッチエンドポイントを介して完全な読み取りサーバー側リクエスト偽造を実行することを可能にする欠陥 (CVE-2022-26135)。

- リモートの認証されていない攻撃者が、ファーストパーティおよびサードパーティのアプリケーションが使用するサーブレットフィルターをバイパスすることを可能にする脆弱性。影響は、各アプリが使用するフィルター、およびフィルターの使用方法によって異なります。この脆弱性により、認証バイパスおよびクロスサイトスクリプティングが発生する可能性があります (CVE-2022-26136)。

- リモートの認証されていない攻撃者が、アプリケーションがリクエストまたは応答を処理し、さらにサーブレットフィルターを呼び出して CORS リクエストに応答するときに、追加のサーブレットフィルターを呼び出すことを可能にする脆弱性。これにより、CORS バイパスが発生します。

スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。