![\"\"](\"https:\/\/blog.jetbrains.com\/wp-content\/uploads\/2020\/10\/ES-copy.png\")
<\/p>\n<\/p>\n
Este es un mensaje acerca de un punto d\u00e9bil de seguridad que encontramos y solucionamos recientemente en YouTrack. Tenga en cuenta que, si es usted un cliente comercial que utiliza un YouTrack Standalone, su administrador deber\u00eda haber recibido un correo electr\u00f3nico que enviamos a finales de agosto, y habr\u00e1 tenido tiempo para actualizar su instalaci\u00f3n de YouTrack a una versi\u00f3n solucionada antes de este anuncio p\u00fablico. No tiene que hacer nada m\u00e1s si ya recibi\u00f3 ese mensaje y actu\u00f3 en consecuencia. Si es cliente de YouTrack InCloud, no dude que ya hemos tomado todas las medidas necesarias para que su instalaci\u00f3n sea segura.<\/p>\n
<\/span><\/p>\n El 13 de agosto de 2020 solucionamos un punto vulnerable de seguridad de YouTrack. Este punto vulnerable permit\u00eda que los usuarios que hab\u00edan iniciado sesi\u00f3n o los invitados pudieran acceder a descripciones de incidencias sin tener los permisos de acceso necesarios, a trav\u00e9s de un endpoint de API REST no documentado. Este punto vulnerable en la seguridad afectaba a instancias de YouTrack desde la versi\u00f3n 3.3 (lanzada el 2 de marzo de 2012) hasta la 2020.3.4313 (lanzada el 13 de agosto de 2020), cuando la incidencia se solucion\u00f3. Este problema de seguridad podr\u00eda haber afectado a instancias de YouTrack en las que se cumpliese una de las siguientes condiciones:<\/p>\n En estos casos, el atacante pod\u00eda acceder a descripciones de incidencias sin tener permisos del sistema para acceder a ellas, utilizando el endpoint no documentado de la API REST de YouTrack.<\/p>\n Desafortunadamente, no tenemos informaci\u00f3n que confirme si ha quedado expuesto el acceso a una instancia en particular de YouTrack. Sin embargo, si tiene el acceso de invitados deshabilitado en su instancia, o si su YouTrack Standalone no est\u00e1 disponible desde Internet, no dude que ning\u00fan tercero habr\u00e1 podido acceder a sus datos debido a este punto vulnerable. <\/p>\n YouTrack Standalone.<\/strong> Si es usted administrador de YouTrack Standalone y no recibi\u00f3 la notificaci\u00f3n por correo electr\u00f3nico, utilice las \u00faltimas versiones con errores resueltos para cada versi\u00f3n de YouTrack a partir de la 2019.1, disponible en nuestra web<\/a>, para actualizar su YouTrack.<\/p>\n\u00bfQu\u00e9 ha sucedido?<\/h2>\n
El punto vulnerable se encontr\u00f3 en uno de los endpoints m\u00e1s antiguos de nuestra API REST obsoleta. Desafortunadamente, la incidencia hab\u00eda pasado desapercibida tanto en las auditor\u00edas de seguridad externas como en las auditor\u00edas de c\u00f3digo fuente de YouTrack. Podemos confirmar que este endpoint nunca ha aparecido en ning\u00fan material p\u00fablico, incluida nuestra documentaci\u00f3n sobre el producto.
\nSe ha publicado la lista de CVE correspondiente aqu\u00ed<\/a>.<\/p>\n\u00bfQu\u00e9 informaci\u00f3n se ha visto expuesta?<\/h2>\n
\n
\u00bfQu\u00e9 medidas hemos tomado?<\/h2>\n
\n
\u00bfTiene que hacer algo?<\/h2>\n