PT-2020-5035 · Atlassian+6 · Bamboo Data Center/Server+7

Publicado

2020-11-16

·

Atualizado

2025-09-29

·

CVE-2020-26217

CVSS v2.0

9.3

Alta

VetorAV:N/AC:M/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do XStream anteriores à 1.4.14
Bamboo Data Center e Server versão 9.2.1
Descrição
A vulnerabilidade existe devido à falta de neutralização de elementos especiais usados em comandos do sistema operacional. Isso pode permitir que um invasor remoto execute código arbitrário manipulando o fluxo de entrada processado. Apenas usuários que dependem de listas de bloqueio são afetados, enquanto aqueles que utilizam a lista de permissão do Security Framework do XStream não são.
Recomendações
Para versões do XStream anteriores à 1.4.14, atualize para a versão 1.4.14 ou posterior.
Para o Bamboo Data Center e Server versão 9.2.1, atualize para uma versão igual ou superior à 9.2.8.
Como solução alternativa temporária para usuários que não podem atualizar, considere usar as soluções alternativas de código fornecidas no aviso.
Restrinja o acesso à biblioteca XStream vulnerável para minimizar o risco de exploração até que o problema seja resolvido.

Exploit

Correção

RCE

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-78

Identificadores relacionados

ALSA-2025_16880
BDU:2020-05622
BIT-ACTIVEMQ-2020-26217
CESA-2021_0162
CVE-2020-26217
DLA-2471-1
DSA-4811-1
ELSA-2021-0162
GHSA-MW36-7C6C-Q4Q2
OPENSUSE-SU-2021:0140-1
OPENSUSE-SU-2021_0140-1
OPENSUSE-SU-2024:10592-1
RHSA-2021:0162
RHSA-2021_0162
SUSE-SU-2021:0176-1
SUSE-SU-2021:0906-1
SUSE-SU-2021_0176-1
USN-4714-1
USN-4943-1
USN-6978-1

Produtos afetados

Bamboo
Bamboo Data Center/Server
Centos
Linuxmint
Red Hat
Suse
Ubuntu
Xstream