Serveur Atlassian Bitbucket

Atlassian a déployé des correctifs pour un faille de sécurité critique dans Bitbucket Server et Data Center qui pourraient conduire à l’exécution de code malveillant sur des installations vulnérables.

Suivi comme CVE-2022-36804 (score CVSS : 9,9), le problème a été caractérisé comme une vulnérabilité d’injection de commande dans plusieurs points de terminaison qui pourrait être exploitée via des requêtes HTTP spécialement conçues.

« Un attaquant ayant accès à un référentiel Bitbucket public ou disposant d’autorisations de lecture sur un référentiel privé peut exécuter du code arbitraire en envoyant une requête HTTP malveillante », explique Atlassian. a dit dans un avis.

La Cyber-Sécurité

La lacune, découverte et signalée par un chercheur en sécurité @LeGrandPew affecte toutes les versions de Bitbucket Server et Datacenter publiées après la version 6.10.17, y compris la version 7.0.0 et les versions ultérieures –

  • Bitbucket Server et Datacenter 7.6
  • Bitbucket Server et Datacenter 7.17
  • Bitbucket Server et Datacenter 7.21
  • Bitbucket Server et Datacenter 8.0
  • Bitbucket Server et Datacenter 8.1
  • Bitbucket Server et Datacenter 8.2, et
  • Bitbucket Server et Datacenter 8.3
La Cyber-Sécurité

Comme solution de contournement temporaire dans les scénarios où les correctifs ne peuvent pas être appliqués immédiatement, Atlassian recommande de désactiver les référentiels publics à l’aide de « feature.public.access=false » pour empêcher les utilisateurs non autorisés d’exploiter la faille.

Publicité

« Cela ne peut pas être considéré comme une atténuation complète car un attaquant avec un compte d’utilisateur pourrait toujours réussir », a-t-il averti, ce qui signifie qu’il pourrait être exploité par des acteurs de la menace qui sont déjà en possession d’informations d’identification valides obtenues par d’autres moyens.

Il est recommandé aux utilisateurs des versions concernées du logiciel de mettre à niveau leurs instances vers la dernière version dès que possible afin d’atténuer les menaces potentielles.


Rate this post
Publicité
Article précédentLe nouveau PC AIO ultra large 5K de HP est emballé, peut être mis à niveau vers des spécifications puissantes
Article suivantCréateur Roblox – gagnez de l’argent réel avec vos créations
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici