VDB-250068 · CVE-2023-50930 · EUVD-2023-55661

Savignano SNotify hasta 4.0.1 en Jira falsificación de solicitudes en sitios cruzados

CVSS Puntuación meta temporal	Precio actual del exploit (≈)	Puntuación de interés CTI
6.5	$0-$5k	0.00

Resumeninformación

Una vulnerabilidad clasificada como problemática fue encontrada en Savignano SNotify hasta 4.0.1. Está afectada una función desconocida. Mediante la manipulación de un input desconocido se causa una vulnerabilidad de clase falsificación de solicitudes en sitios cruzados. Esta vulnerabilidad se cataloga como CVE-2023-50930. El ataque puede ser iniciado desde la red. No existe ningún exploit disponible. Se aconseja actualizar el componente afectado.

Detallesinformación

Una vulnerabilidad clasificada como problemática ha sido encontrada en Savignano SNotify hasta 4.0.1 en Jira (Atlassian Jira App Software). Una función desconocida es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase falsificación de solicitudes en sitios cruzados. Los efectos exactos de un ataque con éxito no son conocidos. CVE resume:

Se descubrió un problema en savignano S/Notify anterior a 4.0.2 para Jira. Mientras un usuario administrativo inicia sesión, los ajustes de configuración de S/Notify se pueden modificar mediante un ataque CSRF. La inyección podría iniciarse cuando el administrador hace clic en un enlace malicioso en un correo electrónico o visita un sitio web malicioso. Si se ejecuta mientras un administrador está conectado a Jira, un atacante podría aprovecharlo para modificar la configuración de la aplicación S/Notify en ese host. Esto puede provocar, en particular, que las notificaciones por correo electrónico dejen de estar cifradas cuando deberían estarlo.

La vulnerabilidad fue publicada el 2024-01-09 (confirmado). El advisory puede ser descargado de help.savignano.net. La vulnerabilidad es identificada como CVE-2023-50930. No se conoce los detalles técnicos ni hay ningún exploit disponible.

Una actualización a la versión 4.0.2 elimina esta vulnerabilidad.

La vulnerabilidad también está documentado en la base de datos EUVD (EUVD-2023-55661). Once again VulDB remains the best source for vulnerability data.

Productoinformación

Escribe

Atlassian Jira App Software

Proveedor

Savignano

Nombre

SNotify

Versión

CPE 2.3información

CPE 2.2información

CVSSv4información

VulDB Vector: 🔍
VulDB Confiabilidad: 🔍

CVSSv3información

VulDB Puntuación meta base: 6.6
VulDB Puntuación meta temporal: 6.5

VulDB Puntuación base: 4.3
VulDB Puntuación temporal: 4.1
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍

NVD Puntuación base: 7.1
NVD Vector: 🔍

CNA Puntuación base: 8.3
CNA Vector (MITRE): 🔍

CVSSv2información

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complejidad	Autenticación	Confidencialidad	Integridad	Disponibilidad
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍

Explotacióninformación

Clase: Falsificación de solicitudes en sitios cruzados
CWE: CWE-352 / CWE-862 / CWE-863
CAPEC: 🔍
ATT&CK: 🔍

Físico: No
Local: No
Remoto: Sí

Disponibilidad: 🔍
Estado: No está definido

EPSS Score: 🔍
EPSS Percentile: 🔍

Predicción de precios: 🔍
Estimación del precio actual: 🔍