Múltiples vulnerabilidades en productos Atlassian

Fecha de publicación: 18/11/2022

Importancia:
Crítica

Recursos afectados:

• Bitbucket Server y Data Center, versiones:
  • desde 7.0 hasta 7.5 (todas las versiones);
  • desde 7.6.0 hasta 7.6.18;
  • desde 7.7 hasta 7.16 (todas las versiones);
  • desde 7.17.0 hasta 7.17.11;
  • desde 7.18 hasta 7.20 (todas las versiones);
  • desde 7.21.0 hasta 7.21.5;
  • si mesh.enabled=false se establece en bitbucket.properties:
    • desde 8.0.0 hasta 8.0.4;
    • desde 8.1.0 hasta 8.1.4;
    • desde 8.2.0 hasta 8.2.3;
    • desde 8.3.0 hasta 8.3.2;
    • desde 8.4.0 hasta 8.4.1.
• Crowd, versiones:
  • desde 3.0.0 hasta 3.7.2;
  • desde 4.0.0 hasta 4.4.3;
  • desde 5.0.0 hasta 5.0.2.

Descripción:

Los investigadores Ry0taK y Ashish Kotha han notificado 2 vulnerabilidades de severidad crítica que afectan a productos Atlassian, cuya explotación podría permitir a un atacante ejecutar código en el sistema afectado o realizar llamadas a endpoints privilegiados en el REST API.

Solución:

Actualizar a las siguientes versiones o superiores:

• Bitbucket Server y Data Center:
  • 7.6.19;
  • 7.17.12;
  • 7.21.6;
  • 8.0.5;
  • 8.1.5;
  • 8.2.4;
  • 8.3.3;
  • 8.4.2;
  • 8.5.0.
• Crowd:
  • 5.0.3;
  • 4.4.4.

Detalle:

• Una vulnerabilidad de inyección de comandos podría permitir a un atacante, con permiso para controlar su nombre de usuario, ejecutar código en el sistema. Se ha asignado el identificador CVE-2022-43781 para esta vulnerabilidad.
• La vulnerabilidad podría permitir a un atacante, que se conecte desde una IP que está en la lista de permitidas y se autentique como la aplicación de Crowd omitiendo la comprobación de la contraseña. Esto permitiría al atacante realizar llamadas a endpoints privilegiados en el REST API de Crowd bajo la ruta usermanagement. Se ha asignado el identificador CVE-2022-43782 para esta vulnerabilidad.

Etiquetas:
Actualización, Vulnerabilidad