PT-2020-9643 · Atlassian · Bitbucket+1
Publicado
2020-01-15
·
Atualizado
2020-08-24
·
CVE-2019-15012
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Bitbucket Server e Bitbucket Data Center, versões 4.13 a 5.16.10
Bitbucket Server e Bitbucket Data Center, versões 6.0.0 a 6.0.10
Bitbucket Server e Bitbucket Data Center, versões 6.1.0 a 6.1.8
Versões 6.2.0 a 6.2.6 do Bitbucket Server e do Bitbucket Data Center
Versões 6.3.0 a 6.3.5 do Bitbucket Server e do Bitbucket Data Center
Versões 6.4.0 a 6.4.3 do Bitbucket Server e do Bitbucket Data Center
Versões 6.5.0 a 6.5.2 do Bitbucket Server e do Bitbucket Data Center
Versões 6.6.0 a 6.6.2 do Bitbucket Server e do Bitbucket Data Center
Versões 6.7.0 a 6.7.2 do Bitbucket Server e do Bitbucket Data Center
Versões 6.8.0 a 6.8.1 do Bitbucket Server e do Bitbucket Data Center
Versão 6.9.0 do Bitbucket Server e do Bitbucket Data Center
Descrição
Um invasor remoto com permissão de gravação em um repositório pode explorar uma vulnerabilidade de execução remota de código por meio da solicitação “edit-file”. Isso permite que o invasor grave em qualquer arquivo arbitrário na instância do Bitbucket Server ou do Bitbucket Data Center da vítima, resultando potencialmente na execução de código arbitrário, caso o usuário tenha as permissões necessárias para gravar o arquivo no destino.
Recomendações
Para as versões 4.13 a 5.16.10 do Bitbucket Server e do Bitbucket Data Center, atualize para a versão 5.16.11 ou posterior.
Para as versões 6.0.0 a 6.0.10 do Bitbucket Server e do Bitbucket Data Center, atualize para a versão 6.0.11 ou posterior.
Para o Bitb
Correção
RCE
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Bitbucket
Bitbucket Server