CVE-2021-39112

EPSS 0.7%CWE-1022

Em resumo

O recurso de Atalhos de Projetos do Jira tem uma vulnerabilidade que permite que atacantes enganem usuários para visitar sites maliciosos usando uma técnica chamada reverse tabnapping. Isso acontece porque a aplicação não protege adequadamente os links ao abri-los em novas abas do navegador.

Detalhe técnico

Uma vulnerabilidade de reverse tabnapping no recurso Project Shortcuts permite que atacantes remotos redirecionem usuários para URLs controladas por eles. A falha existe devido à validação insuficiente dos destinos de URL e uso inadequado do atributo 'target' na geração de links, permitindo que o atacante manipule a propriedade window.opener e redirecione a aba original após o usuário navegar para uma nova aba.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Affected versions of Atlassian Jira Server and Data Center allow remote attackers to redirect users to a malicious URL via a reverse tabnapping vulnerability in the Project Shortcuts feature. The affected versions are before version 8.5.15, from version 8.6.0 before 8.13.7, from version 8.14.0 before 8.17.1, and from version 8.18.0 before 8.18.1.

Produtos afetados

Atlassian · Jira Data Center Atlassian · Jira Server

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://jira.atlassian.com/browse/JRASERVER-72433