Microsoft publicó el 12 de mayo de 2026 un aviso sobre CVE-2026-41103, un fallo crítico en su plugin de Single Sign-On para Atlassian Jira y Confluence. El problema está en cómo el plugin verifica las respuestas SAML que recibe durante el login. Esa verificación está mal implementada, y eso abre la puerta a que alguien sin credenciales válidas entre como si fuera otra persona.
El NVD lo clasifica como CWE-303 (implementación incorrecta de un algoritmo de autenticación) y le asigna un CVSS 3.1 de 9.1, con vector AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N. Traducido: el ataque se lanza por red, no hace falta autenticarse previamente, no requiere interacción de la víctima y compromete tanto la confidencialidad como la integridad de los datos.
Qué falla exactamente
SAML es el protocolo que usan estos plugins para delegar el login en un proveedor de identidad externo. El flujo normal es sencillo: el proveedor firma una aserción que dice “este usuario es quien dice ser”, y la aplicación comprueba esa firma antes de dar acceso. Cuando esa comprobación está mal hecha, un atacante puede construir un mensaje de respuesta manipulado durante el inicio de sesión y forzar que el plugin lo acepte como válido.
El resultado es elevación de privilegios a través de la red: el atacante forja la identidad de un usuario legítimo, incluido potencialmente uno con permisos administrativos, y a partir de ahí accede o modifica datos en Jira y Confluence. No hace falta robar una contraseña ni interceptar una sesión real.
A quién afecta
El fallo está en el plugin de Microsoft, no en Jira ni Confluence en sí. Las versiones vulnerables son:
- Microsoft Confluence SAML SSO Plugin: anteriores a 7.4.0.
- Microsoft JIRA SAML SSO Plugin: anteriores a 1.3.3.
Cualquier instalación de Jira o Confluence que dependa de este plugin para su SSO está expuesta hasta que se actualice. En entornos corporativos donde Jira y Confluence concentran documentación interna, tickets, código y credenciales, el impacto de que alguien entre suplantando a un administrador es serio.
Mitigación
La corrección llega actualizando el plugin a una versión no afectada: 7.4.0 o superior en Confluence, 1.3.3 o superior en Jira. No hay un workaround completo más allá del parche, así que la recomendación es actualizar cuanto antes. Si tu organización usa SSO de Microsoft sobre Atlassian, comprueba la versión instalada del plugin y planifica la actualización sin esperar a la próxima ventana de mantenimiento.
Después de parchear, conviene revisar los registros de acceso por si hubo logins anómalos antes de la actualización, sobre todo cuentas con privilegios elevados. Microsoft no ha confirmado explotación activa en su aviso, pero al tratarse de un bypass de autenticación con CVSS 9.1 y vector de red, no es un fallo para dejar pendiente.
Los bypass de autenticación de este tipo no son raros últimamente. Hemos cubierto casos parecidos en el bypass de autenticación de SmarterMail (CVE-2026-23760) y en el zero-day de Cisco Catalyst SD-WAN (CVE-2026-20127), ambos con el mismo patrón: una comprobación de identidad rota que vale por todas las contraseñas del sistema.
Fuente
- NVD - CVE-2026-41103: https://nvd.nist.gov/vuln/detail/CVE-2026-41103