Fisheye
Уязвимости
62
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.88267
Распределение по критичности
Критический
5
Высокий
13
Средний
44
Низкий
0
Затронутые диапазоны версий
4.4.0–4.4.34.4.0–4.4.64.8.0–4.8.15< 2.5.8< 4.3.2< 4.4.3< 4.4.5< 4.5.1< 4.5.3< 4.5.4< 4.6.0< 4.6.1< 4.7.0< 4.7.2< 4.7.3< 4.8.0< 4.8.1< 4.8.10< 4.8.2< 4.8.3< 4.8.4< 4.8.5< 4.8.9≤ 4.4.0
Также сопоставлено как (исходные строки): bitbucket,confluence_server,crowd,jira_service_desk,bamboo,fisheye,jira_data_center,jira_service_management,jira,crucible,confluence_data_center,jira_server
Топ уязвимостей
CVE-2022-26136Уязвимость в нескольких продуктах Atlassian позволяет удаленному не прошедшему проверку подлинности злоумышленнику обходить фильтры сервлетов, используемые собственными и сторонними приложениями. Воздействие зависит от того, какие фильтры используются каждым приложением и как эти фильтры используются. Эта уязвимость может привести к обходу аутентификации и межсайтовому скриптингу. Atlassian выпустила обновления, устраняющие основную причину этой уязвимости, но не перечислила исчерпывающим образом все потенциальные последствия этой уязвимости. Версии Atlassian Bamboo затронуты до 8.0.9, с 8.1.0 до 8.1.8 и с 8.2.0 до 8.2.4. Версии Atlassian Bitbucket затронуты до 7.6.16, с 7.7.0 до 7.17.8, с 7.18.0 до 7.19.5, с 7.20.0 до 7.20.2, с 7.21.0 до 7.21.2 и версии 8.0.0 и 8.1.0. Версии Atlassian Confluence затронуты до 7.4.17, с 7.5.0 до 7.13.7, с 7.14.0 до 7.14.3, с 7.15.0 до 7.15.2, с 7.16.0 до 7.16.4, с 7.17.0 до 7.17.4 и версия 7.21.0. Версии Atlassian Crowd затронуты до 4.3.8, с 4.4.0 до 4.4.2 и версия 5.0.0. Версии Atlassian Fisheye и Crucible до 4.8.10 затронуты. Версии Atlassian Jira затронуты до 8.13.22, с 8.14.0 до 8.20.10 и с 8.21.0 до 8.22.4. Версии Atlassian Jira Service Management затронуты до 4.13.22, с 4.14.0 до 4.20.10 и с 4.21.0 до 4.22.4.
CVE-2021-43958Различные ресурсы rest в Fisheye и Crucible до версии 4.8.9 позволяли удаленным злоумышленникам перебирать учетные данные для входа пользователя, поскольку ресурсы rest не проверяли, превысили ли пользователи свои максимальные лимиты неудачных попыток входа в систему, и, следовательно, требовали решения CAPTCHA в дополнение к предоставлению учетных данных пользователя для аутентификации через неправильное ограничение избыточных попыток аутентификации.
CVE-2017-16861Была возможна двойная оценка OGNL в определенных действиях перенаправления и в тегах WebWork URL и Anchor в JSP-файлах. Злоумышленник, имеющий доступ к веб-интерфейсу Fisheye или Crucible, или размещающий веб-сайт, который посещает пользователь, имеющий доступ к веб-интерфейсу Fisheye или Crucible, может использовать эту уязвимость для выполнения Java-кода по своему выбору на системах, на которых запущена уязвимая версия Fisheye или Crucible. Все версии Fisheye и Crucible до 4.4.5 (исправленная версия для 4.4.x) и с 4.5.0 до 4.5.2 (исправленная версия для 4.5.x) подвержены этой уязвимости.
CVE-2012-2926Atlassian JIRA до 5.0.1; Confluence до 3.5.16, 4.0 до 4.0.7 и 4.1 до 4.1.10; FishEye и Crucible до 2.5.8, 2.6 до 2.6.8 и 2.7 до 2.7.12; Bamboo до 3.3.4 и 3.4.x до 3.4.5; и Crowd до 2.0.9, 2.1 до 2.1.2, 2.2 до 2.2.9, 2.3 до 2.3.7 и 2.4 до 2.4.1 неправильно ограничивают возможности сторонних XML-парсеров, что позволяет удаленным злоумышленникам читать произвольные файлы или вызывать отказ в обслуживании (потребление ресурсов) через неуказанные векторы.
CVE-2017-14591Atlassian Fisheye и Crucible версий менее 4.4.3 и версии 4.5.0 уязвимы для внедрения аргументов через имена файлов в репозиториях Mercurial, что позволяет злоумышленникам выполнять произвольный код в системе, на которой работает уязвимое программное обеспечение.
CVE-2024-21683Эта уязвимость RCE (удаленное выполнение кода) высокой степени серьезности была введена в версии 5.2 Confluence Data Center и Server.
Эта уязвимость RCE (удаленное выполнение кода) с оценкой CVSS 7.2 позволяет аутентифицированному злоумышленнику выполнять произвольный код, что имеет высокий импакт на конфиденциальность, высокий импакт на целостность, высокий импакт на доступность и не требует взаимодействия пользователя.
Atlassian рекомендует клиентам Confluence Data Center и Server обновиться до последней версии. Если вы не можете этого сделать, обновите вашу инстанцию до одной из указанных поддерживаемых исправленных версий. См. примечания к выпуску https://confluence.atlassian.com/doc/confluence-release-notes-327.html
Вы можете скачать последнюю версию Confluence Data Center и Server из центра загрузок https://www.atlassian.com/software/confluence/download-archives.
Эта уязвимость была обнаружена внутри.
CVE-2022-26137Уязвимость в нескольких продуктах Atlassian позволяет удаленному не прошедшему проверку подлинности злоумышленнику вызывать дополнительные фильтры сервлетов при обработке приложением запросов или ответов. Atlassian подтвердила и исправила единственную известную проблему безопасности, связанную с этой уязвимостью: обход Cross-origin resource sharing (CORS). Отправка специально созданного HTTP-запроса может вызвать фильтр сервлетов, используемый для ответа на запросы CORS, что приведет к обходу CORS. Злоумышленник, который может обманом заставить пользователя запросить вредоносный URL-адрес, может получить доступ к уязвимому приложению с разрешениями жертвы. Версии Atlassian Bamboo затронуты до 8.0.9, с 8.1.0 до 8.1.8 и с 8.2.0 до 8.2.4. Версии Atlassian Bitbucket затронуты до 7.6.16, с 7.7.0 до 7.17.8, с 7.18.0 до 7.19.5, с 7.20.0 до 7.20.2, с 7.21.0 до 7.21.2 и версии 8.0.0 и 8.1.0. Версии Atlassian Confluence затронуты до 7.4.17, с 7.5.0 до 7.13.7, с 7.14.0 до 7.14.3, с 7.15.0 до 7.15.2, с 7.16.0 до 7.16.4, с 7.17.0 до 7.17.4 и версия 7.21.0. Версии Atlassian Crowd затронуты до 4.3.8, с 4.4.0 до 4.4.2 и версия 5.0.0. Версии Atlassian Fisheye и Crucible до 4.8.10 затронуты. Версии Atlassian Jira затронуты до 8.13.22, с 8.14.0 до 8.20.10 и с 8.21.0 до 8.22.4. Версии Atlassian Jira Service Management затронуты до 4.13.22, с 4.14.0 до 4.20.10 и с 4.21.0 до 4.22.4.
CVE-2020-4018Ресурсы установки в Atlassian Fisheye и Crucible до версии 4.8.1 позволяют удаленным злоумышленникам завершить процесс установки через уязвимость подделки межсайтовых запросов (CSRF).
CVE-2018-13399Microsoft Windows Installer для Atlassian Fisheye и Crucible до версии 4.6.1 позволяет локальным злоумышленникам повышать привилегии из-за слабых разрешений в каталоге установки.
CVE-2021-43957Затронутые версии Atlassian Fisheye & Crucible позволяли удаленным злоумышленникам просматривать локальные файлы через уязвимость Insecure Direct Object References (IDOR) в каталоге WEB-INF и обходить исправление для CVE-2020-29446 из-за отсутствия декодирования URL. Затронуты версии до версии 4.8.9.
CVE-2020-14191Уязвимые версии Atlassian Fisheye/Crucible позволяют удаленным злоумышленникам влиять на доступность приложения через уязвимость типа «отказ в обслуживании» (DoS) в MessageBundleResource в Atlassian Gadgets. Уязвимыми являются версии до 4.8.4.
CVE-2020-14190Уязвимые версии Atlassian Fisheye/Crucible позволяют удаленным злоумышленникам добиться отказа в обслуживании Regex через предоставленный пользователем regex в EyeQL. Уязвимыми являются версии до 4.8.4.
CVE-2017-9512Ресурс mostActiveCommitters.do в Atlassian Fisheye и Crucible до версии 4.4.1 позволяет анонимным удаленным злоумышленникам получать доступ к конфиденциальной информации, например, адресам электронной почты коммиттеров, поскольку ему не хватало проверок разрешений.
CVE-2017-9511Класс MultiPathResource в Atlassian Fisheye и Crucible до версии 4.4.1 позволяет анонимным удаленным злоумышленникам читать произвольные файлы через уязвимость обхода каталогов, когда Fisheye или Crucible работает в операционной системе Microsoft Windows.
BDU:2023-05491Уязвимость инструмента проверки кода Crucible, инструмента поиска и сравнения кода Fisheye связана с некорректной зачисткой или освобождением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
BDU:2023-05472Уязвимость инструмента поиска и сравнения кода Fisheye и инструмента проверки кода Crucible связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю , действующему удаленно, вызвать отказ в обслуживании
BDU:2022-04675Уязвимость компонента Servlet Filter программных продуктов обработки данных Atlassian Jira, Jira Service Management, Confluence, Bitbucket, Bamboo, Crowd, Fisheye и Crucible связана с неправильным порядком поведения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти процедуру аутентификации и проводить межсайтовый скриптинг
CVE-2018-5223Fisheye и Crucible некорректно проверяли, содержал ли настроенный URI репозитория Mercurial значения, которые операционная система Windows может рассматривать как параметры аргументов. Злоумышленник, имеющий разрешение на добавление репозитория в Fisheye или Crucible, может выполнять код по своему выбору в системах, на которых запущена уязвимая версия Fisheye или Crucible в операционной системе Windows. Все версии Fisheye и Crucible до 4.4.6 (исправленная версия для 4.4.x) и с 4.5.0 до 4.5.3 (исправленная версия для 4.5.x) подвержены этой уязвимости.
CVE-2018-13398Ресурс административных смарт-коммитов в Atlassian Fisheye и Crucible до версии 4.5.4 позволяет удаленным злоумышленникам изменять настройки смарт-коммитов через уязвимость межсайтовой подделки запросов (CSRF).
CVE-2017-18112Уязвимость раскрытия информации в затронутых версиях Atlassian Fisheye позволяет удаленным злоумышленникам просматривать HTTP-пароль репозитория через функцию ведения журнала. Уязвимы версии до версии 4.8.3.
CVE-2017-16859Ресурс review attachment в Atlassian Fisheye и Crucible до версии 4.3.2, с версии 4.4.0 до 4.4.3 и до версии 4.5.0 позволяет удаленным злоумышленникам читать файлы, содержащиеся в контекстном пути запущенного приложения, через уязвимость обхода пути в параметре command.
CVE-2021-43956Библиотека jQuery deserialize в Fisheye и Crucible до версии 4.8.9 позволяла удаленным злоумышленникам внедрять произвольный HTML и/или JavaScript через уязвимость prototype pollution.
CVE-2019-15008Ресурс /plugins/servlet/branchreview в Atlassian Fisheye и Crucible до версии 4.7.3 позволяет удаленным злоумышленникам внедрять произвольный HTML или JavaScript через межсайтовый скриптинг (XSS) в параметре reviewedBranch.
CVE-2018-5228Ресурс /browse/~raw в Atlassian Fisheye и Crucible до версии 4.5.3 позволяет удаленным злоумышленникам внедрять произвольный HTML или JavaScript через межсайтовый скриптинг (XSS) при обработке заголовков ответов.
CVE-2018-13392Несколько ресурсов в Atlassian Fisheye и Crucible до версии 4.6.0 позволяют удаленным злоумышленникам внедрять произвольный HTML или JavaScript через уязвимость межсайтового скриптинга (XSS) в связанных ключах задач.