Microsoft va publicar el 12 de maig de 2026 un avís sobre CVE-2026-41103, una fallada crítica al seu plugin de Single Sign-On per a Atlassian Jira i Confluence. El problema és com el plugin verifica les respostes SAML que rep durant el login. Aquesta verificació està mal implementada, i això obre la porta que algú sense credencials vàlides entri com si fos una altra persona.
El NVD el classifica com a CWE-303 (implementació incorrecta d’un algorisme d’autenticació) i li assigna un CVSS 3.1 de 9.1, amb vector AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N. Traduït: l’atac es llança per xarxa, no cal autenticar-se prèviament, no requereix interacció de la víctima i compromet tant la confidencialitat com la integritat de les dades.
Què falla exactament
SAML és el protocol que fan servir aquests plugins per delegar el login en un proveïdor d’identitat extern. El flux normal és senzill: el proveïdor signa una asserció que diu “aquest usuari és qui diu que és”, i l’aplicació comprova aquesta signatura abans de donar accés. Quan aquesta comprovació està mal feta, un atacant pot construir un missatge de resposta manipulat durant l’inici de sessió i forçar que el plugin l’accepti com a vàlid.
El resultat és elevació de privilegis a través de la xarxa: l’atacant forja la identitat d’un usuari legítim, inclòs potencialment un amb permisos administratius, i a partir d’aquí accedeix o modifica dades a Jira i Confluence. No cal robar cap contrasenya ni interceptar una sessió real.
A qui afecta
La fallada és al plugin de Microsoft, no a Jira ni Confluence en si. Les versions vulnerables són:
- Microsoft Confluence SAML SSO Plugin: anteriors a 7.4.0.
- Microsoft JIRA SAML SSO Plugin: anteriors a 1.3.3.
Qualsevol instal·lació de Jira o Confluence que depengui d’aquest plugin per al seu SSO està exposada fins que s’actualitzi. En entorns corporatius on Jira i Confluence concentren documentació interna, tiquets, codi i credencials, l’impacte que algú entri suplantant un administrador és seriós.
Mitigació
La correcció arriba actualitzant el plugin a una versió no afectada: 7.4.0 o superior a Confluence, 1.3.3 o superior a Jira. No hi ha cap workaround complet més enllà del pedaç, així que la recomanació és actualitzar com més aviat millor. Si la teva organització fa servir SSO de Microsoft sobre Atlassian, comprova la versió instal·lada del plugin i planifica l’actualització sense esperar la propera finestra de manteniment.
Després de pedaçar, val la pena revisar els registres d’accés per si hi va haver logins anòmals abans de l’actualització, sobretot comptes amb privilegis elevats. Microsoft no ha confirmat explotació activa al seu avís, però en tractar-se d’un bypass d’autenticació amb CVSS 9.1 i vector de xarxa, no és una fallada per deixar pendent.
Els bypass d’autenticació d’aquest tipus no són rars darrerament. Hem cobert casos semblants al bypass d’autenticació de SmarterMail (CVE-2026-23760) i al zero-day de Cisco Catalyst SD-WAN (CVE-2026-20127), tots dos amb el mateix patró: una comprovació d’identitat trencada que val per totes les contrasenyes del sistema.
Font
- NVD - CVE-2026-41103: https://nvd.nist.gov/vuln/detail/CVE-2026-41103