• 04/12/2022 00:28

Atlassian parchea vulnerabilidad crítica de Bitbucket y Data Center

Tiempo estimado de lectura: 1 minutos, 6 segundos

La compañía ha anunciado una actualización de seguridad para solucionar una grave vulnerabilidad en sus productos Bitbucket Server y Data Center.

La vulnerabilidad CVE-2022-43781 se ha sido clasificado como crítica por la propia empresa en una escala de 9 sobre 10 según los niveles de criticidad marcados por Atlassian.

Existe una vulnerabilidad de inyección de comandos utilizando variables de entorno en Bitbucket Server y Data Center. Un atacante con permiso para controlar su nombre de usuario puede explotar este problema para obtener la ejecución de código y ejecutar código en el sistema.

Explica Atlassian.

Las versiones afectadas por la vulnerabilidad de Bitbucket Server y Data Center son de la 7.0 a la 7.21. También se ven afectadas de la versión 8.0 a las 8.4 si se tiene establecida la configuración mesh.enabled=false en bitbucket.properties

Versiones que solucionan la vulnerabilidad CVE-2022-43781:

7.6.19 o más reciente

7.17.12 o más reciente

7.21.6 o más reciente

8.0.5 o más reciente

8.1.5 o más reciente

8.2.4 o más reciente

8.3.3 o más reciente

8.4.2 o más reciente

8.5.0 o más reciente

La compañía recomienda la actualización de forma inmediata a algunas de las versiones mencionadas anteriormente en el listado.

Por otro lado, si no dispone de posibilidad de actualizar en este momento a la última versión, Atlassian ha facilitado una solución para mitigar de forma temporal la vulnerabilidad, esta se trata de deshabilitar el registro público.

Para deshabilitarlo, diríjase a Administración > Autenticación y borre la casilla de verificación para Permitir registro Público.

No es la primera vez que este tipo de vulnerabilidades afectan a Atlassian y Bitbucket.

Ya anteriormente, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU (CISA) advirtió de que una vulnerabilidad de inyección en Bitbucket Server and Data Center (CVE-2022-36804) estaba siendo utilizado como arma para realizar ataques en septiembre.

Más información

https://confluence.atlassian.com/bitbucketserver/bitbucket-server-and-data-center-security-advisory-2022-11-16-1180141667.html

La entrada Atlassian parchea vulnerabilidad crítica de Bitbucket y Data Center se publicó primero en Una al Día.

2022/06
Acerca del autor:
Tell us something about yourself.

Artículo de Raúl García publicado en https://unaaldia.hispasec.com/2022/11/atlassian-parchea-vulnerabilidad-critica-de-bitbucket-y-data-center.html?utm_source=rss&utm_medium=rss&utm_campaign=atlassian-parchea-vulnerabilidad-critica-de-bitbucket-y-data-center

Generated by Feedzy