Atlassian corrige un error crítico de inyección de comandos en Bitbucket Server

Atlassian ha lanzado actualizaciones para abordar las actualizaciones de gravedad crítica en su plataforma centralizada de gestión de identidades, Crowd Server and Data Center, y en Bitbucket Server and Data Center, la solución de la empresa para la gestión de repositorios Git.

Ambas vulnerabilidades de seguridad recibieron una calificación de gravedad de 9 sobre 10 (calculada por Atlassian) y afectan a varias versiones de los productos.

Configuración incorrecta en la multitud

Calificado como crítico, el problema en Crowd Server and Data Center se rastrea como CVE-2022-43782 y es una configuración incorrecta que permite a un atacante eludir las comprobaciones de contraseña al autenticarse como la aplicación Crowd y llamar a puntos finales de API privilegiados.

El problema se introdujo en la versión 3.0 del producto y no afecta las actualizaciones de versiones anteriores, como la 2.9.1.

Atlassian explica que la explotación es posible bajo ciertas condiciones. Uno de ellos es una configuración de dirección remota modificada para incluir una dirección IP permitida, una desviación de la configuración predeterminada (ninguna).

"Esto permitiría al atacante llamar a puntos finales privilegiados en la API REST de Crowd bajo la ruta de administración de usuarios", señala Atlassian en un aviso de seguridad .

El problema afecta a las versiones de Crowd 3.0.0 a 3.7.2, 4.0.0 a 4.4.3 y 5.0.0 a 5.0.2. Multitud 5.0.3 y 4.4.4 no se ven afectados.

Atlassian no corregirá la falla en la versión 3.0.0 del producto porque llegó al final de su vida útil y soporte.

El aviso de seguridad proporciona instrucciones detalladas para que los administradores verifiquen si una instancia se ha visto comprometida y los pasos a seguir en tales casos.

Detalles de la falla de Bitbucket

La falla que afecta a Bitbucket Server and Data Center se introdujo en la versión 7.0 del producto y se identifica como CVE-2022-43781. Es una vulnerabilidad de inyección de comandos que permite a un atacante con permiso controlar su nombre de usuario para obtener la ejecución del código en el sistema de destino bajo ciertas condiciones.

Todas las versiones de la 7.0 a la 7.21 se ven afectadas independientemente de su configuración, así como las versiones de la 8.0 a la 8.4 donde la función "mesh.enabled" está deshabilitada en "bitbucket.properties".

CVE-2022-43781 no afecta las instancias que ejecutan PostgreSQL y aquellas alojadas por Atlassian (a las que se accede a través de un dominio No tienes permitido ver los links. Registrarse o Entrar a mi cuenta).

Las versiones que solucionan el problema son:

7.6.19 o más reciente
7.17.12 o más reciente
7.21.6 o más reciente
8.0.5 o más reciente
8.1.5 o más reciente
8.2.4 o más reciente
8.3.3 o más reciente
8.4.2 o más reciente
8.5.0 o más reciente

Los usuarios que no puedan actualizar a las versiones fijas deben deshabilitar el "Registro público", lo que requeriría que el atacante se autentique con credenciales válidas, lo que reduce el riesgo de explotación.

El aviso de seguridad  señala que los usuarios de ADMIN y SYS_ADMIN aún pueden explotar la falla con esta configuración, por lo que debe tratarse como una medida de mitigación temporal.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta