9VSA22-00697-01 CSIRT alerta vulnerabilidad crítica en Atlassian Bitbucket
Vulnerabilidad de inyección de comandos en múltiples endpoints API.
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT de Gobierno, comparte información sobre nuevas vulnerabilidades que afectan a productos de Atlassian.
Vulnerabilidades
CVE-2022-36804
Impacto
Vulnerabilidad crítica
CVE-2022-36804: Vulnerabilidad de inyección de comandos en múltiples endpoints API. Un atacante con acceso a un repositorio público de Bitbucket o con permisos de lectura en uno privado puede ejecutar código arbitrario enviando una solicitud HTTP maliciosa.
Productos afectados
Bitbucket Server and Data Center 7.0.0 y posteriores.
Mitigación
Instalar las respectivas actualizaciones entregadas por el proveedor.
Enlaces
https://confluence.atlassian.com/bitbucketserver/bitbucket-server-and-data-center-advisory-2022-08-24-1155489835.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-36804
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA22-00697-01.