Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en productos Atlassian

Múltiples vulnerabilidades en productos Atlassian

Fecha de publicación: 
18/11/2022
Identificador: 
INCIBE-2022-1021
Importancia: 
5 - Crítica
Recursos afectados: 
  • Bitbucket Server y Data Center, versiones:
    • desde 7.0 hasta 7.5 (todas las versiones);
    • desde 7.6.0 hasta 7.6.18;
    • desde 7.7 hasta 7.16 (todas las versiones);
    • desde 7.17.0 hasta 7.17.11;
    • desde 7.18 hasta 7.20 (todas las versiones);
    • desde 7.21.0 hasta 7.21.5;
    • si mesh.enabled=false se establece en bitbucket.properties:
      • desde 8.0.0 hasta 8.0.4;
      • desde 8.1.0 hasta 8.1.4;
      • desde 8.2.0 hasta 8.2.3;
      • desde 8.3.0 hasta 8.3.2;
      • desde 8.4.0 hasta 8.4.1.
  • Crowd, versiones:
    • desde 3.0.0 hasta 3.7.2;
    • desde 4.0.0 hasta 4.4.3;
    • desde 5.0.0 hasta 5.0.2.
Descripción: 

Los investigadores Ry0taK y Ashish Kotha han notificado 2 vulnerabilidades de severidad crítica que afectan a productos Atlassian, cuya explotación podría permitir a un atacante ejecutar código en el sistema afectado o realizar llamadas a endpoints privilegiados en el REST API.

Solución: 

Actualizar a las siguientes versiones o superiores:

  • Bitbucket Server y Data Center:
    • 7.6.19;
    • 7.17.12;
    • 7.21.6;
    • 8.0.5;
    • 8.1.5;
    • 8.2.4;
    • 8.3.3;
    • 8.4.2;
    • 8.5.0.
  • Crowd:
    • 5.0.3;
    • 4.4.4.
Detalle: 
  • Una vulnerabilidad de inyección de comandos podría permitir a un atacante, con permiso para controlar su nombre de usuario, ejecutar código en el sistema. Se ha asignado el identificador CVE-2022-43781 para esta vulnerabilidad.
  • La vulnerabilidad podría permitir a un atacante, que se conecte desde una IP que está en la lista de permitidas y se autentique como la aplicación de Crowd omitiendo la comprobación de la contraseña. Esto permitiría al atacante realizar llamadas a endpoints privilegiados en el REST API de Crowd bajo la ruta usermanagement. Se ha asignado el identificador CVE-2022-43782 para esta vulnerabilidad.

Encuesta valoración