Múltiples vulnerabilidades en productos Atlassian

Fecha de publicación: 18/11/2022

Importancia:
Crítica

Recursos afectados:

  • Bitbucket Server y Data Center, versiones:
    • desde 7.0 hasta 7.5 (todas las versiones);
    • desde 7.6.0 hasta 7.6.18;
    • desde 7.7 hasta 7.16 (todas las versiones);
    • desde 7.17.0 hasta 7.17.11;
    • desde 7.18 hasta 7.20 (todas las versiones);
    • desde 7.21.0 hasta 7.21.5;
    • si mesh.enabled=false se establece en bitbucket.properties:
      • desde 8.0.0 hasta 8.0.4;
      • desde 8.1.0 hasta 8.1.4;
      • desde 8.2.0 hasta 8.2.3;
      • desde 8.3.0 hasta 8.3.2;
      • desde 8.4.0 hasta 8.4.1.
  • Crowd, versiones:
    • desde 3.0.0 hasta 3.7.2;
    • desde 4.0.0 hasta 4.4.3;
    • desde 5.0.0 hasta 5.0.2.

Descripción:

Los investigadores Ry0taK y Ashish Kotha han notificado 2 vulnerabilidades de severidad crítica que afectan a productos Atlassian, cuya explotación podría permitir a un atacante ejecutar código en el sistema afectado o realizar llamadas a endpoints privilegiados en el REST API.

Solución:

Actualizar a las siguientes versiones o superiores:

  • Bitbucket Server y Data Center:
    • 7.6.19;
    • 7.17.12;
    • 7.21.6;
    • 8.0.5;
    • 8.1.5;
    • 8.2.4;
    • 8.3.3;
    • 8.4.2;
    • 8.5.0.
  • Crowd:
    • 5.0.3;
    • 4.4.4.

Detalle:

  • Una vulnerabilidad de inyección de comandos podría permitir a un atacante, con permiso para controlar su nombre de usuario, ejecutar código en el sistema. Se ha asignado el identificador CVE-2022-43781 para esta vulnerabilidad.
  • La vulnerabilidad podría permitir a un atacante, que se conecte desde una IP que está en la lista de permitidas y se autentique como la aplicación de Crowd omitiendo la comprobación de la contraseña. Esto permitiría al atacante realizar llamadas a endpoints privilegiados en el REST API de Crowd bajo la ruta usermanagement. Se ha asignado el identificador CVE-2022-43782 para esta vulnerabilidad.

Encuesta valoración

Etiquetas:
Actualización, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.