CVE-2021-39112

EPSS 0.7%CWE-1022

En resumen

La función de Atajos de Proyectos de Jira tiene una vulnerabilidad que permite a los atacantes engañar a los usuarios para que visiten sitios maliciosos mediante una técnica llamada reverse tabnapping. Esto ocurre porque la aplicación no asegura adecuadamente los enlaces al abrirlos en nuevas pestañas del navegador.

Detalle técnico

Una vulnerabilidad de reverse tabnapping en la función Project Shortcuts permite que atacantes remotos redirijan a usuarios a URLs controladas por ellos. La falla existe debido a validación insuficiente de destinos de URL y uso inapropiado del atributo 'target' en la generación de enlaces, permitiendo que el atacante manipule la propiedad window.opener y redirija la pestaña original después de que el usuario navegue a una nueva pestaña.

Resumen generado y traducido por IA a partir de la descripción oficial.

Affected versions of Atlassian Jira Server and Data Center allow remote attackers to redirect users to a malicious URL via a reverse tabnapping vulnerability in the Project Shortcuts feature. The affected versions are before version 8.5.15, from version 8.6.0 before 8.13.7, from version 8.14.0 before 8.17.1, and from version 8.18.0 before 8.18.1.

Productos afectados

Atlassian · Jira Data Center Atlassian · Jira Server

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://jira.atlassian.com/browse/JRASERVER-72433