Atlassian – CVE-2022-43781
Date de publication :
Un défaut de neutralisation d’éléments spéciaux présents dans les variables d’environnement de Bitbucket Server et Data Centerpermet à un attaquant autorisé à éditer son nom d'utilisateur, d’exécuter du code arbitraire sur le système.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Exécution de code arbitraire
Exploitation
La vulnérabilité exploitée est du type
CWE-77: Improper Neutralization of Special Elements used in a Command
Détails sur l’exploitation
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Systèmes ou composants affectés
Bitbucket Server et Data Center sont affectés par cette vulnérabilité dans les versions suivantes :
- 7.0.0 à 7.6.19 non inclue.
- 7.7.0 à 7.17.12 non inclue.
- 7.18.0 à 7.21.6 non inclue.
- 7.22.0 à 8.0.5 non inclue.
- 8.1.0 à 8.1.5 non inclue.
- 8.2.0 à 8.2.4 non inclue.
- 8.3.0 à 8.3.3 non inclue.
- 8.4.0 à 8.4.2 non inclue.
Contournement provisoire
Désactiver le paramètre « Allow public signup » dans les instances Bitbucket Server et Data Center.
Solutions ou recommandations
Mettre à jour Bitbucket Server et Data Center aux versions suivantes :
- 7.6.19 et suivantes.
- 7.17.12 et suivantes.
- 7.21.6 et suivantes.
- 8.0.5 et suivantes.
- 8.1.5 et suivantes.
- 8.2.4 et suivantes.
- 8.3.3 et suivantes.
- 8.4.2 et suivantes.
- 8.5.0 et suivantes.
Plus d’informations disponibles ici.