PT-2022-7161 · Atlassian+1 · Bamboo Server+2

Publicado

2022-09-16

·

Atualizado

2024-11-15

·

CVE-2022-40152

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Woodstox, versões 9.1.0 a 9.3.0
Bamboo Data Center e Server, versões 9.1.0 a 9.2.1
Bamboo Data Center e Server, versão 9.3.0
Descrição
O problema está relacionado a um ataque de Negação de Serviço (DOS) que pode ocorrer ao analisar dados XML com o suporte a DTD habilitado. Se o analisador estiver em execução com dados fornecidos pelo usuário, um invasor pode enviar conteúdo que cause a falha do analisador por estouro de pilha, potencialmente possibilitando um ataque de negação de serviço.
Recomendações
Para as versões 9.1.0 a 9.3.0 do Woodstox, atualize para uma versão em que o suporte a DTD esteja desativado ou devidamente protegido.
Para o Bamboo Data Center e Server versão 9.2, atualize para uma versão igual ou superior a 9.2.5.
Para o Bamboo Data Center e Server versão 9.3, atualize para uma versão igual ou superior à 9.3.3.
Para o Bamboo Data Center e Server versão 9.4, atualize para uma versão igual ou superior à 9.4.0.
Como solução alternativa temporária, considere desativar a funcionalidade de análise DTD até que um patch esteja disponível.

Exploit

Correção

DoS

Stack Overflow

Memory Corruption

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-121CWE-787

Identificadores relacionados

BDU:2023-08465
CVE-2022-40152
GHSA-3F7H-MF4Q-VRM4
MGASA-2023-0104
OESA-2024-2378
OPENSUSE-SU-2024:13150-1
RHSA-2023:0552
RHSA-2023:0553
RHSA-2023:0554
RHSA-2023:3299
RHSA-2025:4226
RHSA-2025:4437
SUSE-SU-2023:0592-1
SUSE-SU-2023:0679-1

Produtos afetados

Bamboo
Bamboo Server
Debian