Atlassian ha implementado correcciones para un falla crítica de seguridad en Bitbucket Server y Data Center que podría conducir a la ejecución de código malicioso en instalaciones vulnerables.
rastreado como CVE-2022-36804 (puntuación CVSS: 9,9), el problema se ha caracterizado como una vulnerabilidad de inyección de comandos en múltiples puntos finales que podría explotarse a través de solicitudes HTTP especialmente diseñadas.
«Un atacante con acceso a un repositorio público de Bitbucket o con permisos de lectura a uno privado puede ejecutar código arbitrario enviando una solicitud HTTP maliciosa», Atlassian dijo en un aviso.
La deficiencia, descubierta e informada por un investigador de seguridad. @TheGrandPew afecta a todas las versiones de Bitbucket Server y Datacenter publicadas después de la 6.10.17, incluida la 7.0.0 y posteriores:
- Servidor Bitbucket y centro de datos 7.6
- Bitbucket Server y centro de datos 7.17
- Bitbucket Server y centro de datos 7.21
- Bitbucket Server y Centro de datos 8.0
- Servidor Bitbucket y centro de datos 8.1
- Bitbucket Server y Datacenter 8.2, y
- Servidor Bitbucket y centro de datos 8.3
Como solución temporal en escenarios en los que los parches no se pueden aplicar de inmediato, Atlassian recomienda desactivar los repositorios públicos usando «feature.public.access=false» para evitar que los usuarios no autorizados aprovechen la falla.
«Esto no puede considerarse una mitigación completa, ya que un atacante con una cuenta de usuario aún podría tener éxito», advirtió, lo que significa que podría ser aprovechado por los actores de amenazas que ya están en posesión de credenciales válidas obtenidas por otros medios.
Se recomienda a los usuarios de las versiones afectadas del software que actualicen sus instancias a la última versión lo antes posible para mitigar las posibles amenazas.