Jira Server and Data Center

Die Schwachstelle betrifft Atlassian Jira Server and Data Center, die selbst betriebene Variante der Projekt- und Vorgangsverwaltung Jira. Es handelt sich um einen Path-Traversal-Fehler: Über manipulierte Pfadangaben am Endpunkt der internen Konfigurationsdatei web.xml lässt sich die vorgesehene Verzeichnisbeschränkung umgehen. Dadurch kann ein Angreifer aus der Ferne und ohne Anmeldung bestimmte Dateien auslesen, auf die er eigentlich keinen Zugriff haben sollte. Der Angriff erfordert weder gültige Zugangsdaten noch eine Mitwirkung eines Nutzers und richtet sich direkt gegen die Webanwendung. Im Vordergrund steht damit der unbefugte Lesezugriff auf Dateiinhalte; je nach ausgelesener Datei können auf diesem Weg interne Informationen oder Konfigurationsdetails offengelegt werden. Betroffen sind die lokal betriebenen Installationen von Jira Server und Data Center, wie sie typischerweise innerhalb von Unternehmen für die Vorgangs- und Projektverwaltung eingesetzt werden.