Vulnerabilidad crítica descubierta en Atlassian Bitbucket Server and Data Center

Iniciado por Dragora, Agosto 30, 2022, 12:29:54 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Atlassian ha implementado correcciones para una falla de seguridad crítica en Bitbucket Server and Data Center que podría conducir a la ejecución de código malicioso en instalaciones vulnerables.

Registrado como CVE-2022-36804 (puntaje CVSS: 9.9), el problema se ha caracterizado como una vulnerabilidad de inyección de comandos en múltiples puntos finales que podría explotarse a través de solicitudes HTTP especialmente diseñadas.

"Un atacante con acceso a un repositorio público de Bitbucket o con permisos de lectura a uno privado puede ejecutar código arbitrario enviando una solicitud HTTP maliciosa", dijo Atlassian en un aviso.

La deficiencia, descubierta e informada por el investigador de seguridad @TheGrandPew , afecta a todas las versiones de Bitbucket Server y Datacenter lanzadas después de la 6.10.17, incluida la 7.0.0 y posteriores.

- Servidor Bitbucket y centro de datos 7.6
- Bitbucket Server y centro de datos 7.17
- Bitbucket Server y centro de datos 7.21
- Bitbucket Server y Centro de datos 8.0
- Servidor Bitbucket y centro de datos 8.1
- Bitbucket Server y Datacenter 8.2, y
- Servidor Bitbucket y centro de datos 8.3

Como solución temporal en escenarios en los que los parches no se pueden aplicar de inmediato, Atlassian recomienda desactivar los repositorios públicos usando "feature.public.access=false" para evitar que los usuarios no autorizados aprovechen la falla.

"Esto no puede considerarse una mitigación completa, ya que un atacante con una cuenta de usuario aún podría tener éxito", advirtió, lo que significa que podría ser aprovechado por los actores de amenazas que ya están en posesión de credenciales válidas obtenidas por otros medios.

Se recomienda a los usuarios de las versiones afectadas del software que actualicen sus instancias a la última versión lo antes posible para mitigar las posibles amenazas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta