Múltiples vulnerabilidades en productos Atlassian
Fecha de publicación 18/11/2022
Identificador
INCIBE-2022-1021
Importancia
5 - Crítica
Recursos Afectados
- Bitbucket Server y Data Center, versiones:
- desde 7.0 hasta 7.5 (todas las versiones);
- desde 7.6.0 hasta 7.6.18;
- desde 7.7 hasta 7.16 (todas las versiones);
- desde 7.17.0 hasta 7.17.11;
- desde 7.18 hasta 7.20 (todas las versiones);
- desde 7.21.0 hasta 7.21.5;
- si mesh.enabled=false se establece en bitbucket.properties:
- desde 8.0.0 hasta 8.0.4;
- desde 8.1.0 hasta 8.1.4;
- desde 8.2.0 hasta 8.2.3;
- desde 8.3.0 hasta 8.3.2;
- desde 8.4.0 hasta 8.4.1.
- Crowd, versiones:
- desde 3.0.0 hasta 3.7.2;
- desde 4.0.0 hasta 4.4.3;
- desde 5.0.0 hasta 5.0.2.
Descripción
Los investigadores Ry0taK y Ashish Kotha han notificado 2 vulnerabilidades de severidad crítica que afectan a productos Atlassian, cuya explotación podría permitir a un atacante ejecutar código en el sistema afectado o realizar llamadas a endpoints privilegiados en el REST API.
Solución
Actualizar a las siguientes versiones o superiores:
- Bitbucket Server y Data Center:
- 7.6.19;
- 7.17.12;
- 7.21.6;
- 8.0.5;
- 8.1.5;
- 8.2.4;
- 8.3.3;
- 8.4.2;
- 8.5.0.
- Crowd:
- 5.0.3;
- 4.4.4.
Detalle
- Una vulnerabilidad de inyección de comandos podría permitir a un atacante, con permiso para controlar su nombre de usuario, ejecutar código en el sistema. Se ha asignado el identificador CVE-2022-43781 para esta vulnerabilidad.
- La vulnerabilidad podría permitir a un atacante, que se conecte desde una IP que está en la lista de permitidas y se autentique como la aplicación de Crowd omitiendo la comprobación de la contraseña. Esto permitiría al atacante realizar llamadas a endpoints privilegiados en el REST API de Crowd bajo la ruta usermanagement. Se ha asignado el identificador CVE-2022-43782 para esta vulnerabilidad.
Listado de referencias
Etiquetas