Nivel de peligrosidad: CRÍTICO.
Se ha hecho pública una vulnerabilidad de severidad crítica que afecta a Atlassian Bitbucket Server y Data Center, una solución autogestionada que ofrece la posibilidad de colaboración de código fuente para equipos profesionales de cualquier tamaño sin importar la distancia en la que estén situados.
Esta vulnerabilidad, permite la ejecución remota de código (RCE) y afecta a todas las versiones posteriores a la 6.10.17, incluyendo la 7.00 y hasta la 8.3.0 de Bitbucket Server y Data Center. A dicho error se le ha asignado una criticidad de 9.9 por parte del fabricante.
|
CVE |
Descripción |
|
CVE-2022-36804 |
Vulnerabilidad que existe debido a una validación de entrada inadecuada dentro de múltiples puntos finales de la API. Un atacante remoto con acceso a un repositorio público o con permisos de lectura en un repositorio privado de Bitbucket puede enviar una solicitud HTTP especialmente diseñada y ejecutar comandos arbitrarios dentro del SO del servidor. |
La base de datos del NIST ha registrado esta vulnerabilidad, aún así, no se le ha asignado puntuación de acuerdo a la escala CVSSv3. No obstante, la vulnerabilidad catalogada bajo el CVE-2022-36804 ha sido calificada como crítica. Hasta la fecha, no se conoce actividad dañina en la red ni la disponibilidad de exploits que aprovechan esta vulnerabilidad, así como tampoco se han publicado pruebas de concepto (PoC) sobre los detalles del fallo publicado.
En adición a lo anterior, el investigador Max Garret prometió lanzar un exploit en los próximos 30 días, dando a los administradores de los sistemas un margen para aplicar las correcciones destacadas.
Recursos afectados:
La vulnerabilidad anterior afecta a los siguientes productos:
- Atlassian Bitbucket Server y Data Center - Todas las versiones después de 6.10.17, incluída 7.0.0 y posteriores, hasta la 8.3.0 inclusive.
Solución a las vulnerabilidades:
Atlassian ha lanzado el parche que aborda la vulnerabilidad detallada en este informe. Además, se recomienda actualizar los productos a la versión 8.3.1 disponible en el siguiente enlace:
Recomendaciones:
El servicio de Cyberthreats de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que realicen la actualización mencionada con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Por el momento, no se conocen medidas de mitigación alternativas para esta vulnerabilidad en caso de no ser posible aplicar la actualización descrita.
Referencias:
