PT-2022-4497 · Atlassian · Bitbucket+1
Thegrandpew
·
Publicado
2022-08-25
·
Atualizado
2025-02-09
·
CVE-2022-36804
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Atlassian Bitbucket Server e Data Center, versões 7.0.0 a 7.6.17
Atlassian Bitbucket Server e Data Center, versões 7.7.0 a 7.17.10
Atlassian Bitbucket Server e Data Center, versões 7.18.0 a 7.21.4
Atlassian Bitbucket Server e Data Center versões 8.0.0 a 8.0.3
Atlassian Bitbucket Server e Data Center versões 8.1.0 a 8.1.3
Atlassian Bitbucket Server e Data Center versões 8.2.0 a 8.2.2
Atlassian Bitbucket Server e Data Center versões 8.3.0 a 8.3.1
Descrição
A vulnerabilidade permite que invasores remotos com permissões de leitura em um repositório Bitbucket público ou privado executem código arbitrário enviando uma solicitação HTTP maliciosa. Isso se deve a erros no processamento de dados de entrada na interface da API da ferramenta para hospedagem, gerenciamento e colaboração em código Git. A vulnerabilidade foi relatada por meio do Programa de Recompensa por Bugs.
Recomendações
Para as versões 7.0.0 a 7.6.17, atualize para a versão 7.6.17 ou posterior.
Para as versões 7.7.0 a 7.17.10, atualize para a versão 7.17.10 ou posterior.
Para as versões 7.18.0 a 7.21.4, atualize para a versão 7.21.4 ou posterior.
Para as versões 8.0.0 a 8.0.3, atualize para a versão 8.0.3 ou posterior.
Para as versões 8.1.0 a 8.1.3, atualize para a versão 8.1.3 ou posterior.
Para as versões 8.2.0 a 8.2.2, atualize para a versão 8.2.2 ou posterior.
Para as versões 8.3.0 a 8.3.1, atualize para a versão 8.3.1 ou posterior.
Exploit
Correção
Argument Injection
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Bitbucket
Bitbucket Server