El CSIRT de Gobierno comparte información entregada por Atlassian sobre los parches que puso a disposición para corregir vulnerabilidades en Bitbucket y Crowd.

Vulnerabilidades

CVE-2022-43781 y CVE-2022-43782

Impacto

Vulnerabilidades de mayor riesgo

CVE-2022-43781 (crítica): Vulnerabilidad de inyección de comandos en Bitbucket Server and Data Center 7 y 8.

CVE-2022-43782 (crítica): Vulnerabilidad de mala configuración de seguridad en Crowd, todas las versiones desde la 3.0.0.

Productos afectados

Bitbucket Server and Data Center 7 y 8.

Crowd 3.0.0. y posteriores.

Mitigación

Instalar las respectivas actualizaciones entregadas por el proveedor.

Enlaces

https://confluence.atlassian.com/bitbucketserver/bitbucket-server-and-data-center-security-advisory-2022-11-16-1180141667.html

https://confluence.atlassian.com/crowd/crowd-security-advisory-november-2022-1168866129.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-43781

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-43782

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA22-00747-01.