La empresa de software australiana Atlassian ha implementado actualizaciones de seguridad para abordar dos defectos críticos afectando a los productos Bitbucket Server, Data Center y Crowd.
Los problemas, rastreados como CVE-2022-43781 y CVE-2022-43782tienen una puntuación de 9 sobre 10 en el sistema de puntuación de vulnerabilidad CVSS.
CVE-2022-43781, que según Atlassian se introdujo en la versión 7.0.0 de Bitbucket Server and Data Center, afecta a las versiones 7.0 a 7.21 y 8.0 a 8.4 (solo si mesh.enabled se establece en falso en bitbucket.properties).
La debilidad se ha descrito como un caso de inyección de comandos utilizando variables de entorno en el software, lo que podría permitir que un adversario con permiso controle su nombre de usuario para obtener la ejecución del código en el sistema afectado.
Como solución temporal, la empresa recomienda a los usuarios que desactiven la opción «Registro público» (Administración > Autenticación).
«Deshabilitar el registro público cambiaría el vector de ataque de un ataque no autenticado a uno autenticado, lo que reduciría el riesgo de explotación», señaló en un aviso. «Los usuarios autenticados ADMIN o SYS_ADMIN aún tienen la capacidad de explotar la vulnerabilidad cuando el registro público está deshabilitado».
La segunda vulnerabilidad, CVE-2022-43782, se refiere a una configuración incorrecta en Crowd Server y Data Center que podría permitir que un atacante invoque puntos finales de API privilegiados, pero solo en escenarios donde el atacante se conecta desde una dirección IP agregada a la configuración de la dirección remota. .
Introducida en Crowd 3.0.0 e identificada durante una revisión de seguridad interna, la deficiencia afecta a todas las instalaciones nuevas, lo que significa que los usuarios que actualizaron desde una versión anterior a Crowd 3.0.0 no son vulnerables.
No es raro que las fallas en Atlassian y Bitbucket estén sujetas a una explotación activa en la naturaleza, por lo que es imperativo que los usuarios se muevan rápidamente para aplicar los parches.
El mes pasado, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA, por sus siglas en inglés) advirtió que una falla de inyección de comando en Bitbucket Server and Data Center (CVE-2022-36804, puntuación CVSS: 9,9) se estaba usando como arma en ataques desde finales de septiembre de 2022.