{"id":483382,"date":"2022-11-19T05:18:18","date_gmt":"2022-11-19T05:18:18","guid":{"rendered":"https:\/\/teknomers.com\/es\/atlassian-lanza-parches-para-fallas-criticas-que-afectan-a-los-productos-de-crowd-y-bitbucket\/"},"modified":"2022-11-19T05:18:19","modified_gmt":"2022-11-19T05:18:19","slug":"atlassian-lanza-parches-para-fallas-criticas-que-afectan-a-los-productos-de-crowd-y-bitbucket","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/atlassian-lanza-parches-para-fallas-criticas-que-afectan-a-los-productos-de-crowd-y-bitbucket\/","title":{"rendered":"Atlassian lanza parches para fallas cr\u00edticas que afectan a los productos de Crowd y Bitbucket"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>La empresa de software australiana Atlassian ha implementado actualizaciones de seguridad para abordar <a rel=\"nofollow noopener\" href=\"https:\/\/confluence.atlassian.com\/security\/november-2022-atlassian-security-advisories-overview-1167844594.html\" target=\"_blank\">dos defectos cr\u00edticos<\/a> afectando a los productos Bitbucket Server, Data Center y Crowd.<\/p>\n<p>Los problemas, rastreados como <a rel=\"nofollow noopener\" href=\"https:\/\/confluence.atlassian.com\/bitbucketserver\/bitbucket-server-and-data-center-security-advisory-2022-11-16-1180141667.html\" target=\"_blank\"><strong>CVE-2022-43781<\/strong><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/confluence.atlassian.com\/crowd\/crowd-security-advisory-november-2022-1168866129.html\" target=\"_blank\"><strong>CVE-2022-43782<\/strong><\/a>tienen una puntuaci\u00f3n de 9 sobre 10 en el sistema de puntuaci\u00f3n de vulnerabilidad CVSS.<\/p>\n<p>CVE-2022-43781, que seg\u00fan Atlassian se introdujo en la versi\u00f3n 7.0.0 de Bitbucket Server and Data Center, afecta a las versiones 7.0 a 7.21 y 8.0 a 8.4 (solo si mesh.enabled se establece en falso en bitbucket.properties).<\/p>\n<p>La debilidad se ha descrito como un caso de inyecci\u00f3n de comandos utilizando variables de entorno en el software, lo que podr\u00eda permitir que un adversario con permiso controle su nombre de usuario para obtener la ejecuci\u00f3n del c\u00f3digo en el sistema afectado.<\/p>\n<p>Como soluci\u00f3n temporal, la empresa recomienda a los usuarios que desactiven la opci\u00f3n &#8220;Registro p\u00fablico&#8221; (Administraci\u00f3n > Autenticaci\u00f3n).<\/p>\n<p>&#8220;Deshabilitar el registro p\u00fablico cambiar\u00eda el vector de ataque de un ataque no autenticado a uno autenticado, lo que reducir\u00eda el riesgo de explotaci\u00f3n&#8221;, se\u00f1al\u00f3 en un aviso.  &#8220;Los usuarios autenticados ADMIN o SYS_ADMIN a\u00fan tienen la capacidad de explotar la vulnerabilidad cuando el registro p\u00fablico est\u00e1 deshabilitado&#8221;.<\/p>\n<p>La segunda vulnerabilidad, CVE-2022-43782, se refiere a una configuraci\u00f3n incorrecta en Crowd Server y Data Center que podr\u00eda permitir que un atacante invoque puntos finales de API privilegiados, pero solo en escenarios donde el atacante se conecta desde una direcci\u00f3n IP agregada a la configuraci\u00f3n de la direcci\u00f3n remota. .<\/p>\n<p>Introducida en Crowd 3.0.0 e identificada durante una revisi\u00f3n de seguridad interna, la deficiencia afecta a todas las instalaciones nuevas, lo que significa que los usuarios que actualizaron desde una versi\u00f3n anterior a Crowd 3.0.0 no son vulnerables.<\/p>\n<p>No es raro que las fallas en Atlassian y Bitbucket est\u00e9n sujetas a una explotaci\u00f3n activa en la naturaleza, por lo que es imperativo que los usuarios se muevan r\u00e1pidamente para aplicar los parches.<\/p>\n<p>El mes pasado, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA, por sus siglas en ingl\u00e9s) advirti\u00f3 que una falla de inyecci\u00f3n de comando en Bitbucket Server and Data Center (CVE-2022-36804, puntuaci\u00f3n CVSS: 9,9) se estaba usando como arma en ataques desde finales de septiembre de 2022.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/atlassian-releases-patches-for-critical.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La empresa de software australiana Atlassian ha implementado actualizaciones de seguridad para abordar dos defectos cr\u00edticos afectando a<\/p>\n","protected":false},"author":1,"featured_media":483383,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,14895,4661,54410,103802,4664,2026,126291,3233,4662,4668,543,4667,36,4654,4658,4659,4653,4655,18,6244,6087,4663,4666,4665,4660],"class_list":["post-483382","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-afectan","tag-ataques-ciberneticos","tag-atlassian","tag-bitbucket","tag-como-hackear","tag-criticas","tag-crowd","tag-fallas","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-lanza","tag-las-noticias-de-los-hackers","tag-los","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-parches","tag-productos","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/483382","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=483382"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/483382\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/483383"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=483382"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=483382"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=483382"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}