Han sido descubiertas dos vulnerabilidades en Bamboo, del grupo Atlassian, que podría permitir la ejecución remota de código en el host de Bamboo y la ejecución arbitraria de argumentos sobre un servidor Mercurial configurado en el sistema.
Bamboo es una herramienta pertenecientes a la suite para empresas y desarrolladores de software Atlassian, creado específicamente para satisfacer los ciclos de integración continua y despliegue de aplicaciones.
Las dos vulnerabilidades han recibido los identificadores CVE-2017-14589 y CVE-2017-14590.
La primera de ellas, la vulnerabilidad asociada al CVE-2017-14589, permitiría a un atacante remoto ejecutar código a través de una web especialmente manipulada que sea visitada por la administración del host. El código que permite la vulnerabilidad pertenece a la librería de código abierto para Java, OGNL, que permite el uso del lenguaje de expresiones del mismo nombre.
La segunda de ellas, asociada al CVE-2017-14590, podría permitir a un usuario de la plataforma poder ejecutar argumentos contra un servidor Mercurial configurado en el sistema, saltándose las restricciones de acceso definidas por la propia plataforma y de este modo permitir la ejecución arbitraria de parámetros. Esto daría a este atacante la posibilidad de insertar argumentos arbitrarios sobre el servidor Mercurial.
Estos dos fallos ya han sido solucionados a partir de las versiones 6.1.6 y 6.2.5, por lo que recomendamos desde Hispasec a los usuarios de este software actualizar inmediatamente a la última versión de la rama correspondiente.
Bamboo es una herramienta pertenecientes a la suite para empresas y desarrolladores de software Atlassian, creado específicamente para satisfacer los ciclos de integración continua y despliegue de aplicaciones.
Las dos vulnerabilidades han recibido los identificadores CVE-2017-14589 y CVE-2017-14590.
La primera de ellas, la vulnerabilidad asociada al CVE-2017-14589, permitiría a un atacante remoto ejecutar código a través de una web especialmente manipulada que sea visitada por la administración del host. El código que permite la vulnerabilidad pertenece a la librería de código abierto para Java, OGNL, que permite el uso del lenguaje de expresiones del mismo nombre.
La segunda de ellas, asociada al CVE-2017-14590, podría permitir a un usuario de la plataforma poder ejecutar argumentos contra un servidor Mercurial configurado en el sistema, saltándose las restricciones de acceso definidas por la propia plataforma y de este modo permitir la ejecución arbitraria de parámetros. Esto daría a este atacante la posibilidad de insertar argumentos arbitrarios sobre el servidor Mercurial.
Estos dos fallos ya han sido solucionados a partir de las versiones 6.1.6 y 6.2.5, por lo que recomendamos desde Hispasec a los usuarios de este software actualizar inmediatamente a la última versión de la rama correspondiente.
Más información:
Bamboo Security Advisory 2017-12-13:
Deja una respuesta