Atlassian – CVE-2022-43781

Date de publication :

Un défaut de neutralisation d’éléments spéciaux présents dans les variables d’environnement de Bitbucket Server et Data Centerpermet à un attaquant autorisé à éditer son nom d'utilisateur, d’exécuter du code arbitraire sur le système.

CVE-2022-43781

Score CVSS v3.1: 9.8]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

Exécution de code arbitraire

Exploitation

La vulnérabilité exploitée est du type

CWE-77: Improper Neutralization of Special Elements used in a Command

Détails sur l’exploitation

  • Vecteur d’attaque : Réseau.

  • Complexité de l’attaque : Faible.

  • Privilèges nécessaires pour réaliser l’attaque : Aucun.

  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Systèmes ou composants affectés

Bitbucket Server et Data Center sont affectés par cette vulnérabilité dans les versions suivantes :

  • 7.0.0 à 7.6.19 non inclue.
  • 7.7.0 à 7.17.12 non inclue.
  • 7.18.0 à 7.21.6 non inclue.
  • 7.22.0 à 8.0.5 non inclue.
  • 8.1.0 à 8.1.5 non inclue.
  • 8.2.0 à 8.2.4 non inclue.
  • 8.3.0 à 8.3.3 non inclue.
  • 8.4.0 à 8.4.2 non inclue.

Contournement provisoire

Désactiver le paramètre « Allow public signup » dans les instances Bitbucket Server et Data Center.

Solutions ou recommandations

Mettre à jour Bitbucket Server et Data Center aux versions suivantes :

  • 7.6.19 et suivantes.
  • 7.17.12 et suivantes.
  • 7.21.6 et suivantes.
  • 8.0.5 et suivantes.
  • 8.1.5 et suivantes.
  • 8.2.4 et suivantes.
  • 8.3.3 et suivantes.
  • 8.4.2 et suivantes.
  • 8.5.0 et suivantes.

Plus d’informations disponibles ici.

Liens