Atlassian a déployé des correctifs pour un faille de sécurité critique dans Bitbucket Server et Data Center qui pourraient conduire à l’exécution de code malveillant sur des installations vulnérables.
Suivi comme CVE-2022-36804 (score CVSS : 9,9), le problème a été caractérisé comme une vulnérabilité d’injection de commande dans plusieurs points de terminaison qui pourrait être exploitée via des requêtes HTTP spécialement conçues.
« Un attaquant ayant accès à un référentiel Bitbucket public ou disposant d’autorisations de lecture sur un référentiel privé peut exécuter du code arbitraire en envoyant une requête HTTP malveillante », explique Atlassian. a dit dans un avis.
La lacune, découverte et signalée par un chercheur en sécurité @LeGrandPew affecte toutes les versions de Bitbucket Server et Datacenter publiées après la version 6.10.17, y compris la version 7.0.0 et les versions ultérieures –
- Bitbucket Server et Datacenter 7.6
- Bitbucket Server et Datacenter 7.17
- Bitbucket Server et Datacenter 7.21
- Bitbucket Server et Datacenter 8.0
- Bitbucket Server et Datacenter 8.1
- Bitbucket Server et Datacenter 8.2, et
- Bitbucket Server et Datacenter 8.3
Comme solution de contournement temporaire dans les scénarios où les correctifs ne peuvent pas être appliqués immédiatement, Atlassian recommande de désactiver les référentiels publics à l’aide de « feature.public.access=false » pour empêcher les utilisateurs non autorisés d’exploiter la faille.
« Cela ne peut pas être considéré comme une atténuation complète car un attaquant avec un compte d’utilisateur pourrait toujours réussir », a-t-il averti, ce qui signifie qu’il pourrait être exploité par des acteurs de la menace qui sont déjà en possession d’informations d’identification valides obtenues par d’autres moyens.
Il est recommandé aux utilisateurs des versions concernées du logiciel de mettre à niveau leurs instances vers la dernière version dès que possible afin d’atténuer les menaces potentielles.