PT-2022-6900 · Atlassian · Bitbucket Server+2
Bingdian-So
·
Publicado
2022-12-13
·
Atualizado
2025-12-22
·
CVE-2022-45688
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
hutool-json versão 5.8.10
org.json:json versões anteriores a 20230227
Bitbucket Data Center e Server versões 7.17.0 a 8.12.0
Descrição
Um estouro de pilha no componente
XML.toJSONObject permite que invasores causem uma negação de serviço (DoS) por meio de dados JSON ou XML maliciosos. Esta vulnerabilidade está relacionada a um estouro de buffer na memória, que pode ser explorado por um invasor remoto para causar uma negação de serviço. A vulnerabilidade tem alto impacto na disponibilidade, sem impacto na confidencialidade ou integridade, e não requer interação do usuário.Recomendações
Para a versão 5.8.10 do hutool-json, considere desativar o componente
XML.toJSONObject até que um patch esteja disponível.Para org.json:json, atualize para a versão 20230227 ou posterior.
Para Bitbucket Data Center e Server:
-
Versão 7.21: atualize para uma versão igual ou superior a 7.21.16
-
Versão 8.9: atualize para uma versão igual ou superior a 8.9.4
-
Versão 8.10: atualize para uma versão igual ou superior a 8.10.4
-
Versão 8.11: atualize para uma versão igual ou superior a 8.11.3
-
Versão 8.12: atualize para uma versão igual ou superior a 8.12.1
Exploit
Correção
DoS
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Bitbucket
Bitbucket Server
Jira