Atlassian - CVE-2026-21571
Date de publication :
Il s'agit d'une vulnérabilité d'injection de commandes système (OS Command Injection) dans une dépendance tierce embarquée par Bamboo Data Center.
Bamboo Data Center est une plateforme d'intégration et de livraison continues (CI/CD) éditée par Atlassian. Elle automatise les processus de compilation, de test et de déploiement logiciel, et s'intègre nativement avec Jira et Bitbucket au sein de l'écosystème Atlassian. Elle est destinée aux équipes de développement de taille moyenne à grande nécessitant des pipelines de build haute disponibilité.
Une neutralisation insuffisante des métacaractères shell dans les entrées utilisateur transmises à cette dépendance permet à un attaquant de faire exécuter des commandes arbitraires du système d'exploitation au processus serveur. L'exploitation ne requiert qu'une authentification de bas niveau et aucune interaction utilisateur, ce qui en fait un vecteur d'attaque direct depuis le réseau.
Elle permet à un attaquant authentifié d'exécuter du code arbitraire à distance sur le serveur hébergeant Bamboo, avec un impact total sur la confidentialité, l'intégrité et la disponibilité du système et des environnements CI/CD connectés.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-78 : Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Bamboo Data Center versions 9.6.0 jusqu'à 9.6.24 inclus
• Bamboo Data Center versions 10.0.0 jusqu'à 10.0.3 inclus
• Bamboo Data Center versions 10.1.0 jusqu'à 10.1.1 inclus
• Bamboo Data Center versions 10.2.0 jusqu'à 10.2.16 inclus
• Bamboo Data Center versions 11.0.0 jusqu'à 11.0.8 inclus
• Bamboo Data Center versions 11.1.0
• Bamboo Data Center versions 12.0.0 jusqu'à 12.0.2 inclus
• Bamboo Data Center versions 12.1.0 jusqu'à 12.1.3 inclus
Solutions ou recommandations
• Bamboo Data Center version 10.2.18 et supérieures (branche 10.2 LTS)
• Bamboo Data Center version 12.1.6 et supérieures (branche 12.1 LTS, recommandée)