Viernes, 23 Marzo 2018
Alert Boletín de CERTSI del 23-03-2018 Twitter YouTube

Ejecución remota de código en Bitbucket Server

Fecha de publicación: 23/03/2018
Importancia: Crítica
Recursos afectados
Las versiones de Bitbucket Server afectadas son las siguientes:

  • Versiones entre 4.13.0 y 5.4.8
  • Versiones entre 5.5.0 y 5.5.8
  • Versiones entre 5.6.0 y 5.6.5
  • Versiones entre 5.7.0 y 5.7.3
  • Versiones entre 5.8.0 y 5.8.2
Descripción
Atlassian ha informado de una vulnerabilidad de ejecución remota de código en su producto Bitbucket Server que permitiría a un usuario la ejecución remota de código en el servidor a través del navegador.
Solución
Se recomienda actualizar a las siguientes versiones de Bitbucket Server:

  • 5.4.8
  • 5.5.8
  • 5.6.5
  • 5.7.3
  • 5.8.2
  • 5.9.0

Para usuarios que no puedan realizar la actualización, se recomienda aplicar las siguientes medidas de mitigación:

  • Establecer feature.file.editor al valor false en el archivo bitbucket.properties
  • Reinicie Bitbucket Server para que los cambios entren en vigencia

Hay que tener en cuenta que estas medidas no solucionan esta vulnerabilidad a través de complementos de terceros que utilicen la API.

Detalle
La vulnerabilidad conocida, permitiría a un usuario autenticado de Bitbucket Server obtener la ejecución remota de código usando la función de edición interna del navegador editando un enlace simbólico dentro de un repositorio.Se ha asignado el identificador CVE-2018-5225 para esta vulnerabilidad.

Encuesta valoración

Referencias
Bitbucket Server security advisory 2018-03-21

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

A %d blogueros les gusta esto: