Vulnerabilidad crítica en el Bitbucket de Atlassian

31 Agosto 2022
Crítico

 

La empresa de software con sede en Australia, Atlassian, ha publicado un aviso de seguridad que menciona una vulnerabilidad crítica que afecta a Bitbucket Server y Data Center. 

 

¿Qué es el Bitbucket?

Bitbucket es un servicio de alojamiento basado en web, para proyectos que utilizan el sistema de control de versiones Mercurial y Git. Sirve para compartir datos, implementar y crear código de forma colaborativa, así como también para automatizar pruebas. Tiene una versión ideal para soluciones corporativas que está alojada en servidores agrupados (Bitbucket Data Center), los que permiten un  rendimiento escalable, duplicaciones inteligentes y alta disponibilidad.

 

CVE-2022-36804 [CVSS: 9.9]
Vulnerabilidad de inyección de comandos a través de solicitudes HTTP maliciosas

La vulnerabilidad de inyección de comandos ocurre en varios extremos de la API de Bitbucket Server y Data Center. Un atacante con acceso a un repositorio público de Bitbucket o con permisos de lectura a uno privado puede ejecutar código arbitrario enviando una solicitud HTTP maliciosa.

  • IMPORTANTE: Todas las versiones lanzadas después de la 6.10.17, incluida la 7.0.0 y posteriores, se ven afectadas, lo que significa que todas las instancias que ejecutan cualquier versión entre la 7.0.0 y la 8.3.0 inclusive pueden ser explotadas por esta vulnerabilidad.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Parche #Complemento #API #Bitbucket #Atlassian #Vulnerabilidad #HTTP #CVE-2022-36804


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.