- Publicité -


Atlassian

La société de logiciels australienne Atlassian a déployé des mises à jour de sécurité pour répondre deux défauts critiques affectant les produits Bitbucket Server, Data Center et Crowd.

Les problèmes, suivis comme CVE-2022-43781 et CVE-2022-43782sont tous deux notés 9 sur 10 sur le système de notation des vulnérabilités CVSS.

CVE-2022-43781, qui, selon Atlassian, a été introduit dans la version 7.0.0 de Bitbucket Server et Data Center, affecte les versions 7.0 à 7.21 et 8.0 à 8.4 (uniquement si mesh.enabled est défini sur false dans bitbucket.properties).

- Publicité -

La faiblesse a été décrite comme un cas d’injection de commande à l’aide de variables d’environnement dans le logiciel, ce qui pourrait permettre à un adversaire autorisé à contrôler son nom d’utilisateur d’obtenir l’exécution de code sur le système affecté.

Comme solution de contournement temporaire, la société recommande aux utilisateurs de désactiver l’option “Inscription publique” (Administration > Authentification).

“La désactivation de l’inscription publique changerait le vecteur d’attaque d’une attaque non authentifiée à une attaque authentifiée, ce qui réduirait le risque d’exploitation”, a-t-il noté dans un avis. “Les utilisateurs authentifiés par ADMIN ou SYS_ADMIN ont toujours la possibilité d’exploiter la vulnérabilité lorsque l’inscription publique est désactivée.”

La deuxième vulnérabilité, CVE-2022-43782, concerne une mauvaise configuration dans Crowd Server et Data Center qui pourrait permettre à un attaquant d’invoquer des points de terminaison d’API privilégiés, mais uniquement dans les scénarios où le mauvais acteur se connecte à partir d’une adresse IP ajoutée à la configuration de l’adresse distante. .

Introduite dans Crowd 3.0.0 et identifiée lors d’un examen de sécurité interne, la lacune affecte toutes les nouvelles installations, ce qui signifie que les utilisateurs qui ont mis à niveau à partir d’une version antérieure à Crowd 3.0.0 ne sont pas vulnérables.

Il n’est pas rare que des failles dans Atlassian et Bitbucket soient soumises à une exploitation active dans la nature, ce qui oblige les utilisateurs à agir rapidement pour appliquer les correctifs.

Le mois dernier, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a averti qu’une faille d’injection de commandes dans Bitbucket Server and Data Center (CVE-2022-36804, score CVSS : 9,9) était militarisée dans des attaques depuis fin septembre 2022.



Rate this post
Avatar
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici