Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2024 S2 Grupo
Alertas

Vulnerabilidad de inyección de comandos en Atlassian Bitbucket

20 Sep 2022

INTRODUCCIÓN

Múltiples endpoints de la API en Atlassian Bitbucket Server y Data Center permiten a los atacantes remotos ejecutar código arbitrario mediante el envío de una solicitud HTTP maliciosa.

ANÁLISIS

Existe una vulnerabilidad de inyección de comandos en múltiples endpoints de la API de Bitbucket Server y Data Center. Un atacante con acceso a un repositorio público de Bitbucket o con permisos de lectura a uno privado puede ejecutar código arbitrario enviando una petición HTTP maliciosa. Existen varias pruebas de concepto sobre esta vulnerabilidad.

Versiones afectadas:

  • Todas las versiones de Bitbucket Server y Data Center desde la 7.0.0 hasta la 8.3.0 incluida.

RECOMENDACIONES:

Actualizar a la última versión posible el software en cuestión

REFERENCIAS:

https://www.sangfor.com/farsight-labs-threat-intelligence/cybersecurity/cve-2022-36804-atlassian-bitbucket-command-injection-vulnerability
https://jira.atlassian.com/browse/BSERV-13438
https://github.com/notdls/CVE-2022-36804
https://github.com/notxesh/CVE-2022-36804-PoC
https://www.anquanke.com/post/id/280193

Artículos relacionados
Ver todas →
Alertas
Vulnerabilidad crítica en Apache HTTP Server
Leer más →
Alertas
Múltiples vulnerabilidades en Trendnet AC2600 TEW-827DRU
Leer más →
Alertas
La actualización de emergencia de Google Chrome corrige un día cero y otras vulnerabilidades
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día