ASA-2019-00426 – Atlassian Jira: Template injection em vários resources

Havia uma vulnerabilidade de Template injection do lado do servidor no Jira Server e no Data Center, nas ações ContactAdministrators e SendBulkMail. Para que essa vulnerabilidade seja explorável, pelo menos uma das seguintes condições deve ser atendida: um servidor SMTP foi configurado no Jira e o Formulário de Administrador de Contatos está habilitado; ou um servidor SMTP foi configurado no Jira e um atacante tem acesso "JIRA Administrators". No primeiro caso, onde o Formulário de Administrador de Contatos está habilitado, os atacante podem explorar esse problema sem autenticação. No segundo caso, os atacantes com acesso "Administradores do JIRA" podem explorar esse problema. Em ambos os casos, a exploração bem-sucedida desse problema permite que um atacante execute código remotamente em sistemas que executam uma versão vulnerável do Jira Server ou do Data Center.