{"id":606441,"date":"2023-02-03T10:56:27","date_gmt":"2023-02-03T10:56:27","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-software-jira-de-atlassian-es-vulnerable-a-una-vulnerabilidad-de-autenticacion-critica\/"},"modified":"2023-02-03T10:56:28","modified_gmt":"2023-02-03T10:56:28","slug":"el-software-jira-de-atlassian-es-vulnerable-a-una-vulnerabilidad-de-autenticacion-critica","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-software-jira-de-atlassian-es-vulnerable-a-una-vulnerabilidad-de-autenticacion-critica\/","title":{"rendered":"El software Jira de Atlassian es vulnerable a una vulnerabilidad de autenticaci\u00f3n cr\u00edtica"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">03 de febrero de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Seguridad en la nube\/vulnerabilidad<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Atlassian ha publicado correcciones para resolver una falla de seguridad cr\u00edtica en Jira Service Management Server and Data Center que podr\u00eda ser abusada por un atacante para hacerse pasar por otro usuario y obtener acceso no autorizado a instancias susceptibles.<\/p>\n<p>El <a rel=\"nofollow noopener\" href=\"https:\/\/confluence.atlassian.com\/security\/january-2023-security-advisories-overview-1207183418.html\" target=\"_blank\">vulnerabilidad<\/a> es rastreado como <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-22501\" target=\"_blank\">CVE-2023-22501<\/a> (puntaje CVSS: 9.4) y ha sido descrito como un caso de autenticaci\u00f3n rota con baja complejidad de ataque.<\/p>\n<p>&#8220;Se descubri\u00f3 una vulnerabilidad de autenticaci\u00f3n en Jira Service Management Server and Data Center que permite a un atacante hacerse pasar por otro usuario y obtener acceso a una instancia de Jira Service Management en determinadas circunstancias&#8221;, Atlassian <a rel=\"nofollow noopener\" href=\"https:\/\/confluence.atlassian.com\/jira\/jira-service-management-server-and-data-center-advisory-cve-2023-22501-1188786458.html\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;Con el acceso de escritura a un Directorio de usuarios y el correo electr\u00f3nico saliente habilitado en una instancia de Jira Service Management, un atacante podr\u00eda obtener acceso a los tokens de registro enviados a usuarios con cuentas en las que nunca se ha iniciado sesi\u00f3n&#8221;.<\/p>\n<p>Los tokens, se\u00f1al\u00f3 Atlassian, se pueden obtener en cualquiera de los dos escenarios:<\/p>\n<ul>\n<li>Si el atacante est\u00e1 incluido en los problemas o solicitudes de Jira con estos usuarios, o<\/li>\n<li>Si el atacante es reenviado u obtiene acceso a correos electr\u00f3nicos que contienen un enlace &#8220;Ver solicitud&#8221; de estos usuarios<\/li>\n<\/ul>\n<p>Tambi\u00e9n <a rel=\"nofollow noopener\" href=\"https:\/\/confluence.atlassian.com\/kb\/faq-for-cve-2023-22501-1189797488.html\" target=\"_blank\">advertido<\/a> que si bien los usuarios que est\u00e1n sincronizados con el servicio de Jira a trav\u00e9s de directorios de usuarios de solo lectura o inicio de sesi\u00f3n \u00fanico (SSO) no se ven afectados, los clientes externos que interact\u00faan con la instancia por correo electr\u00f3nico se ven afectados, incluso cuando SSO est\u00e1 configurado.<\/p>\n<p>El proveedor de servicios de software australiano dijo que la vulnerabilidad se introdujo en la versi\u00f3n 5.3.0 y afecta a todas las versiones posteriores 5.3.1, 5.3.2, 5.4.0, 5.4.1 y 5.5.0.  Las correcciones est\u00e1n disponibles en las versiones 5.3.3, 5.3.3, 5.5.1 y 5.6.0 o posteriores.<\/p>\n<p>Atlassian enfatiz\u00f3 que los sitios de Jira est\u00e1n alojados en la nube a trav\u00e9s de un atlassian[.]net no se ven afectados por la falla y que no se requiere ninguna acci\u00f3n en este caso.<\/p>\n<p>La divulgaci\u00f3n llega m\u00e1s de dos meses despu\u00e9s de que la empresa cerrara dos brechas de seguridad cr\u00edticas Bitbucket Server, Data Center y Crowd Products (CVE-2022-43781 y CVE-2022-43782) que podr\u00edan explotarse para obtener la ejecuci\u00f3n de c\u00f3digo e invocar puntos finales de API privilegiados. .<\/p>\n<p>Dado que las fallas en los productos de Atlassian se han convertido en un atractivo vector de ataque en los \u00faltimos meses, es crucial que los usuarios actualicen sus instalaciones a las \u00faltimas versiones para mitigar las posibles amenazas.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/02\/atlassians-jira-software-found.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80203 de febrero de 2023\ue804Ravie Lakshman\u00e1nSeguridad en la nube\/vulnerabilidad Atlassian ha publicado correcciones para resolver una falla de<\/p>\n","protected":false},"author":1,"featured_media":606442,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,54410,33384,4664,2458,4662,54411,4668,4667,4654,4658,4659,4653,4655,4663,4666,4665,6246,158,4014,4660,5375],"class_list":["post-606441","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-atlassian","tag-autenticacion","tag-como-hackear","tag-critica","tag-filtracion-de-datos","tag-jira","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software","tag-una","tag-vulnerabilidad","tag-vulnerabilidad-de-software","tag-vulnerable"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/606441","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=606441"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/606441\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/606442"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=606441"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=606441"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=606441"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}