La société de logiciels australienne Atlassian a déployé des mises à jour de sécurité pour répondre deux défauts critiques affectant les produits Bitbucket Server, Data Center et Crowd.
Les problèmes, suivis comme CVE-2022-43781 et CVE-2022-43782sont tous deux notés 9 sur 10 sur le système de notation des vulnérabilités CVSS.
CVE-2022-43781, qui, selon Atlassian, a été introduit dans la version 7.0.0 de Bitbucket Server et Data Center, affecte les versions 7.0 à 7.21 et 8.0 à 8.4 (uniquement si mesh.enabled est défini sur false dans bitbucket.properties).
La faiblesse a été décrite comme un cas d’injection de commande à l’aide de variables d’environnement dans le logiciel, ce qui pourrait permettre à un adversaire autorisé à contrôler son nom d’utilisateur d’obtenir l’exécution de code sur le système affecté.
Comme solution de contournement temporaire, la société recommande aux utilisateurs de désactiver l’option « Inscription publique » (Administration > Authentification).
« La désactivation de l’inscription publique changerait le vecteur d’attaque d’une attaque non authentifiée à une attaque authentifiée, ce qui réduirait le risque d’exploitation », a-t-il noté dans un avis. « Les utilisateurs authentifiés par ADMIN ou SYS_ADMIN ont toujours la possibilité d’exploiter la vulnérabilité lorsque l’inscription publique est désactivée. »
La deuxième vulnérabilité, CVE-2022-43782, concerne une mauvaise configuration dans Crowd Server et Data Center qui pourrait permettre à un attaquant d’invoquer des points de terminaison d’API privilégiés, mais uniquement dans les scénarios où le mauvais acteur se connecte à partir d’une adresse IP ajoutée à la configuration de l’adresse distante. .
Introduite dans Crowd 3.0.0 et identifiée lors d’un examen de sécurité interne, la lacune affecte toutes les nouvelles installations, ce qui signifie que les utilisateurs qui ont mis à niveau à partir d’une version antérieure à Crowd 3.0.0 ne sont pas vulnérables.
Il n’est pas rare que des failles dans Atlassian et Bitbucket soient soumises à une exploitation active dans la nature, ce qui oblige les utilisateurs à agir rapidement pour appliquer les correctifs.
Le mois dernier, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a averti qu’une faille d’injection de commandes dans Bitbucket Server and Data Center (CVE-2022-36804, score CVSS : 9,9) était militarisée dans des attaques depuis fin septembre 2022.