CVE-2021-43954

Опубликовано: 14 мар. 2022

Источник: nvd

CVSS3: 4.3

CVSS2: 4

EPSS Низкий

Описание

The DefaultRepositoryAdminService class in Fisheye and Crucible before version 4.8.9 allowed remote attackers, who have 'can add repository permission', to enumerate the existence of internal network and filesystem resources via a Server-Side Request Forgery (SSRF) vulnerability.

Ссылки

https://jira.atlassian.com/browse/CRUC-8520
Issue Tracking
Vendor Advisory
https://jira.atlassian.com/browse/FE-7384
Issue Tracking
Vendor Advisory
https://jira.atlassian.com/browse/CRUC-8520
Issue Tracking
Vendor Advisory
https://jira.atlassian.com/browse/FE-7384
Issue Tracking
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:atlassian:crucible:*:*:*:*:*:*:*:*

Версия до 4.8.9 (исключая)

cpe:2.3:a:atlassian:fisheye:*:*:*:*:*:*:*:*

Версия до 4.8.9 (исключая)

EPSS

Процентиль: 35%

0.00143

Низкий

4.3 Medium

CVSS3

4 Medium

CVSS2

Дефекты

CWE-918

Связанные уязвимости

GHSA-w6c2-26pj-hpq6

CVSS3: 4.3

github

почти 4 года назад

BDU:2023-05483

CVSS3: 4.3

fstec

почти 4 года назад

Уязвимость службы defaultrepositoryadmin инструмента проверки кода Crucible, инструмента поиска и сравнения кода Fisheye , позволяющая нарушителю осуществить SSRF-атаку

EPSS

Процентиль: 35%

0.00143

Низкий

4.3 Medium

CVSS3

4 Medium

CVSS2

Дефекты

CWE-918