CVE-2022-32274

ALT: (7.2)

CVSS3: 6.9

Atlassian Jira Transition Scheduler add-on és vulnerable al cross-site scripting, causat per la validació inadequada de l’entrada subministrada per l’usuari per la funció de creació. Un atacant remot podria explotar aquesta vulnerabilitat utilitzant el nom del projecte per a injectar un script maliciós en una pàgina web que s’executaria en el navegador web de la víctima dins del context de seguretat del lloc web d’allotjament, una vegada que la pàgina sigui visualitzada. Un atacant podria fer servir aquesta vulnerabilitat per a robar les credencials d’autenticació basades en les cookies de la víctima.

Sistemes Afectats

• Atlassian Transition Scheduler add-on for Atlassian Jira 6.5.0

Remediació
Actualitzi a l’última versió del complement Transition Scheduler, disponible en el lloc web de Atlassian

Referències

• https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2022-040.txt
• https://marketplace.atlassian.com/apps/37456/the-scheduler?tab=overview&hosting=cloud
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32274