El pasado miércoles 24, la compañía Atlassian comunicaba haber descubierto una vulnerabilidad crítica capaz de ejecutar código arbitrario que afecta a múltiples versiones del popular software de repositorios BitBucket.
El problema, identificado como CVE-2022-36804 (puntuación CVSS: 9,9), se describe como una vulnerabilidad de inyección de comandos que se puede explotar a través de una solicitud HTTP especialmente diseñada.
Existen vulnerabilidades de inyección de comandos en varios servidores de Bitbucket y endpoints de la API del centro de datos. Un atacante con acceso a repositorios públicos de Bitbucket o acceso de lectura a repositorios privados podría ejecutar código arbitrario mediante el envío de solicitudes HTTP maliciosas.
Todas las versiones lanzadas después de la 6.10.17, incluida la 7.0.0 y posteriores, están afectadas, lo que significa que todas las instancias que ejecutan cualquier versión entre la 7.0.0 y la 8.3.0 pueden ser explotadas por esta vulnerabilidad.
- Bitbucket Server y Datacenter 7.6
- Bitbucket Server y Datacenter 7.17
- Bitbucket Server y Datacenter 7.21
- Bitbucket Server y Datacenter 8.0
- Bitbucket Server y Datacenter 8.1
- Bitbucket Server y Datacenter 8.2,
- Bitbucket Server y Datacenter 8.3
En caso de que no sea posible actualizar Bitbucket inmediatamente, Atlassian recomienda deshabilitar los repositorios públicos con «feature.public.access=false» para evitar que los usuarios no autorizados aprovechen la vulnerabilidad. Esto no puede considerarse una mitigación completa, ya que un atacante con una cuenta de usuario aún puede tener éxito.
Se recomienda a los usuarios de las versiones afectadas del software que actualicen sus instancias a la última versión lo antes posible para mitigar posibles amenazas.
Mas información:
- https://confluence.atlassian.com/bitbucketserver/bitbucket-server-and-data-center-advisory-2022-08-24-1155489835.html
- https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/inyeccion-comandos-bitbucket-server-y-data-center-atlassian
Deja una respuesta