Vulnérabilité de type injection de commande de gravité critique trouvée sur [ Bitbucket Server et Data Center ]

Origine: bjCSIRT

Numéro: 2022/ALERTE/034

Date de l’alerte: 22/09/2022

APERÇU :

La vulnérabilité  CVE-2022-36804 classée Elevé a été trouvé dans Bitbucket Server et Data Center qu’un attaquant pourrait exploiter pour obtenir l’exécution
de commande à distance sur les systèmes compromis.

DESCRIPTION :

Vulnérabilité d’injection de commande via des requêtes HTTP malveillantes

Il existe une vulnérabilité d’injection de commande dans plusieurs endpoints d’API de Bitbucket Server et Data Center. Un attaquant ayant accès à un dépôt Bitbucket public ou avec des droits de lecture sur un dépôt privé peut exécuter du code arbitraire en envoyant une requête HTTP illicite.

Toutes les versions publiées après 6.10.17, y compris 7.0.0 et plus récentes, sont affectées, cela signifie que toutes les instances qui exécutent des versions entre 7.0.0 et 8.3.0 inclus peuvent être exploitées par cette vulnérabilité.

La liste complète des versions concernées se trouve dans le champ SYSTEMES AFFECTÉS.

IMPACT :

  • Compromission de la confidentialité, l’intégrité et de la disponibilité de l’instance ;
  • Prise de contrôle du serveur ;
  • Installation de portes dérobées ;
  • Divulgation d’informations et Vol de données ;
  • Usurpation d’identité.

SYSTEMES AFFECTÉS

Toutes les versions de Bitbucket Server et Data Center de 7.0.0 à 8.3.0 inclus.

MESURES À PRENDRE :

Si vous avez configuré des nœuds Bitbucket Mesh, ceux-ci devront être mis à jour avec la version correspondante de Mesh qui inclut le correctif. Pour trouver la version de Mesh compatible avec la version Bitbucket Data Center, veuillez consulter ce lien https://confluence.atlassian.com/bitbucketserver/bitbucket-mesh-compatibility-matrix-1127254859.html .
Vous pouvez de même télécharger la version correspondante à partir du centre de téléchargement https://www.atlassian.com/software/bitbucket/download-mesh-archives

REFERENCES :

Partagez sur vos réseaux.