PT-2020-10335 · Atlassian · Bitbucket+1
Publicado
2020-01-15
·
Atualizado
2020-08-24
·
CVE-2019-20097
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Bitbucket Server e do Bitbucket Data Center anteriores à 5.16.11
Versões do Bitbucket Server e do Bitbucket Data Center de 6.0.0 a 6.0.10
Versões do Bitbucket Server e do Bitbucket Data Center de 6.1.0 a 6.1.8
Versões do Bitbucket Server e do Bitbucket Data Center de 6.2.0 a 6.2.6
Versões do Bitbucket Server e do Bitbucket Data Center de 6.3.0 a 6.3.5
Versões do Bitbucket Server e do Bitbucket Data Center de 6.4.0 a 6.4.3
Versões do Bitbucket Server e do Bitbucket Data Center de 6.5.0 a 6.5.2
Versões 6.6.0 a 6.6.2 do Bitbucket Server e do Bitbucket Data Center
Versões 6.7.0 a 6.7.2 do Bitbucket Server e do Bitbucket Data Center
Versões 6.8.0 a 6.8.1 do Bitbucket Server e do Bitbucket Data Center
Versões 6.9.0 do Bitbucket Server e do Bitbucket Data Center
Descrição
Existe uma vulnerabilidade de execução remota de código por meio do gancho post-receive. Um invasor com permissão para clonar e enviar arquivos para um repositório pode explorar essa vulnerabilidade para executar comandos arbitrários no sistema usando um arquivo especialmente criado.
Recomendações
Atualize para a versão 5.16.11 ou posterior para versões anteriores à 5.16.11.
Atualize para a versão 6.0.11 ou posterior para as versões 6.0.0 a 6.0.10.
Atualize para a versão 6.1.9 ou posterior para as versões 6.1.0 a 6.1.8.
Atualize para a versão 6.2.7 ou posterior para as versões 6.2.0 a 6.2.6.
Atualize para a versão 6.3.6 ou posterior para as versões 6.3.0 a 6.3.5.
Atualize para a versão 6.4.4 ou posterior para as versões 6.4.0 a 6.4.3.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Bitbucket
Bitbucket Server