В Atlassian Jira версий 7.6.4–8.1.0 существует уязвимость CSRF, которую можно использовать. Форма входа не требует токена CSRF. В результате злоумышленник может авторизовать пользователя в системе под неожиданной учетной записью.
Показать оригинальное описание (EN)
An exploitable CSRF vulnerability exists in Atlassian Jira, from versions 7.6.4 to 8.1.0. The login form doesn’t require a CSRF token. As a result, an attacker can log a user into the system under an unexpected account.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Atlassian Jira_Data_Center
cpe:2.3:a:atlassian:jira_data_center:*:*:*:*:*:*:*:*
|
7.6.4
|
<= 8.1.0
|
|
Atlassian Jira_Server
cpe:2.3:a:atlassian:jira_server:*:*:*:*:*:*:*:*
|
7.6.4
|
<= 8.1.0
|