Atlassian JIRA Software/JIRA Core 7.0.3 Inline Wiki Markup Information Disclosure
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 3.1 | $0-$5k | 0.00 |
Zusammenfassung
Eine problematische Schwachstelle wurde in Atlassian JIRA Software and JIRA Core 7.0.3 entdeckt. Es geht dabei um eine nicht klar definierte Funktion der Komponente Inline Wiki Markup Handler. Die Veränderung resultiert in Information Disclosure. Diese Verwundbarkeit ist als CVE-2015-8481 gelistet. Der Angriff kann über das Netzwerk passieren. Es existiert kein Exploit.
Details
Eine Schwachstelle wurde in Atlassian JIRA Software sowie JIRA Core 7.0.3 (Bug Tracking Software) entdeckt. Sie wurde als problematisch eingestuft. Dies betrifft eine unbekannte Verarbeitung der Komponente Inline Wiki Markup Handler. Dank Manipulation mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-200. Die Auswirkungen sind bekannt für die Vertraulichkeit. Die Zusammenfassung von CVE lautet:
Atlassian JIRA Software 7.0.3, JIRA Core 7.0.3, and the bundled JIRA Service Desk 3.0.3 installer attaches the wrong image to e-mail notifications when a user views an issue with inline wiki markup referencing an image attachment, which might allow remote attackers to obtain sensitive information by updating a different issue that includes wiki markup for an external image reference.Die Schwachstelle wurde am 08.01.2016 (Website) herausgegeben. Das Advisory findet sich auf jira.atlassian.com. Die Verwundbarkeit wird seit dem 07.12.2015 mit der eindeutigen Identifikation CVE-2015-8481 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert eine einfache Authentisierung. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1592 bezeichnet.
Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 11569 (Atlassian JIRA Incorrect Image Email Attachment Vulnerability (JIRA Security Advisory 2015-12-09)) zur Prüfung der Schwachstelle an.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Unter anderem wird der Fehler auch in den Datenbanken von SecurityFocus (BID 79381†) und Vulnerability Center (SBV-55744†) dokumentiert. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.atlassian.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 3.1VulDB Meta Temp Score: 3.1
VulDB Base Score: 3.1
VulDB Temp Score: 3.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 3.1
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Timeline
07.12.2015 🔍09.12.2015 🔍
09.12.2015 🔍
08.01.2016 🔍
08.01.2016 🔍
10.01.2016 🔍
19.01.2016 🔍
08.11.2024 🔍
Quellen
Hersteller: atlassian.comAdvisory: jira.atlassian.com
Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2015-8481 (🔍)
GCVE (CVE): GCVE-0-2015-8481
GCVE (VulDB): GCVE-100-80147
SecurityFocus: 79381 - Atlassian JIRA CVE-2015-8481 Email Image Attachment Security Bypass Vulnerability
Vulnerability Center: 55744 - Atlassian JIRA 7.0.3 and JIRA Service Desk 3.0.3 Remote Information Disclosure by Sending Image via E-mail, Low
Eintrag
Erstellt: 10.01.2016 20:15Aktualisierung: 08.11.2024 16:16
Anpassungen: 10.01.2016 20:15 (57), 05.07.2018 08:59 (10), 08.11.2024 16:16 (17)
Komplett: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.