Inyección de comandos en Atlassian Bitbucket Server and Data Center Environment Variable (CVE-2022-43781)

INTRODUCCIÓN

Atlassian ha publicado correcciones para remediar una vulnerabilidad de seguridad crítica que afecta a su producto Bitbucket Server y Data Center.

ANÁLISIS

Existe una vulnerabilidad de inyección de comandos utilizando variables de entorno en Bitbucket Server y Data Center. Un atacante con permiso para controlar su nombre de usuario puede explotar este problema para obtener la ejecución de código en el sistema. Esta vulnerabilidad se introdujo en la versión 7.0 de Bitbucket Server y Data Center. CvSS v3 : 9

Versiones afectadas:

• 7.0.0 ≤ versión < 7.6.19
• 7.7.0 ≤ versión < 7.17.12
• 7.18.0 ≤ versión < 7.21.6
• 7.22.0 ≤ versión < 8.0.5
• 8.1.0 ≤ versión < 8.1.5
• 8.2.0 ≤ versión < 8.2.4
• 8.3.0 ≤ versión < 8.3.3
• 8.4.0 ≤ versión < 8.4.2

RECOMENDACIONES

Atlassian recomienda actualizar cada una de sus versiones afectadas a una de las versiones indicadas:

Bitbucket Server y Data Center:

• 7.6.19 o más reciente
• 7.17.12 o más reciente
• 7.21.6 o posterior
• 8.0.5 o posterior
• 8.1.5 o posterior
• 8.2.4 o más reciente
• 8.3.3 o más reciente
• 8.4.2 o más reciente
• 8.5.0 o más reciente

REFERENCIAS

https://confluence.atlassian.com/bitbucketserver/bitbucket-server-and-data-center-security-advisory-2022-11-16-1180141667.html
https://jira.atlassian.com/browse/BSERV-13522
https://securityonline.info/cve-2022-43781-critical-bitbucket-server-and-data-center-vulnerability/