PT-2020-9642 · Atlassian · Bitbucket+1
Publicado
2020-01-15
·
Atualizado
2020-08-24
·
CVE-2019-15010
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Bitbucket Server e Bitbucket Data Center, versões 3.0.0 a 5.16.10
Bitbucket Server e Bitbucket Data Center, versões 6.0.0 a 6.0.10
Bitbucket Server e Bitbucket Data Center, versões 6.1.0 a 6.1.8
Versões 6.2.0 a 6.2.6 do Bitbucket Server e do Bitbucket Data Center
Versões 6.3.0 a 6.3.5 do Bitbucket Server e do Bitbucket Data Center
Versões 6.4.0 a 6.4.3 do Bitbucket Server e do Bitbucket Data Center
Versões 6.5.0 a 6.5.2 do Bitbucket Server e do Bitbucket Data Center
Versões 6.6.0 a 6.6.2 do Bitbucket Server e do Bitbucket Data Center
Versões 6.7.0 a 6.7.2 do Bitbucket Server e do Bitbucket Data Center
Versões 6.8.0 a 6.8.1 do Bitbucket Server e do Bitbucket Data Center
Versões 6.9.0 a 6.9.0 do Bitbucket Server e do Bitbucket Data Center
Descrição
Existe uma vulnerabilidade de execução remota de código devido a determinados campos de entrada do usuário. Um invasor com permissões de nível de usuário pode explorar essa vulnerabilidade para executar comandos arbitrários nos sistemas da vítima, utilizando uma carga maliciosa especialmente criada como entrada do usuário. Isso permite a execução de comandos arbitrários na instância do Bitbucket Server ou do Bitbucket Data Center da vítima.
Recomendações
Para as versões 3.0.0 a 5.16.10, atualize para a versão 5.16.11 ou posterior.
Para as versões 6.0.0 a 6.0.10, atualize para a versão 6.0.11 ou posterior.
Para as versões 6.1.0 a 6.1.8, atualize para a versão 6.1.9 ou posterior.
Para as versões 6.2.0 a 6.2.6, atualize para a versão 6
Correção
RCE
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Bitbucket
Bitbucket Server