PT-2022-7225 · Atlassian+6 · Bamboo Data Center/Server+11
Publicado
2020-08-13
·
Atualizado
2025-01-28
·
CVE-2020-36518
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do jackson-databind anteriores à 2.13.0
Versões 7.17.0, 7.21.0, 8.7.0, 8.8.0, 8.9.0, 8.10.0, 8.11.0, 8.12.0 e 8.13.0 do Bitbucket Data Center e Server
Versões do Bitbucket Data Center e Server anteriores a 7.21.14, 8.9.4, 8.10.4, 8.11.3, 8.11.4, 8.12.1, 8.12.2, 8.13.1
Versões 9.1.0, 9.2.1 e 9.3.0 do Bamboo Data Center e Server
Versões anteriores a 9.2.5 e 9.3.3 do Bamboo Data Center e Server
Descrição
O problema está relacionado a uma exceção Java StackOverflow e a uma negação de serviço por meio de uma grande profundidade de objetos aninhados na biblioteca jackson-databind. Isso pode ser explorado por um invasor não autenticado para causar uma negação de serviço. A vulnerabilidade afeta vários produtos da Atlassian, incluindo o Bitbucket Data Center e Server, e o Bamboo Data Center e Server.
Recomendações
Para versões do jackson-databind anteriores à 2.13.0, atualize para a versão 2.13.0 ou posterior.
Para as versões 7.17.0, 7.21.0, 8.7.0, 8.8.0, 8.9.0, 8.10.0, 8.11.0, 8.12.0 e 8.13.0 do Bitbucket Data Center e Server, atualize para uma versão igual ou superior a 7.21.14, 8.9.4, 8.10.4, 8.11.3, 8.11.4, 8.12.1, 8.12.2, 8.13.1.
Para as versões 9.1.0, 9.2.1 e 9.3.0 do Bamboo Data Center e Server, atualize para uma versão igual ou superior a 9.2.5 e 9.3.3.
Como solução alternativa temporária, considere restringir o uso da biblioteca jackson-databind para minimizar o risco de exploração.
Exploit
Correção
DoS
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Almalinux
Astra Linux
Bamboo
Bamboo Data Center/Server
Bitbucket
Bitbucket Data Center/Server
Centos
Jira
Jira Service Management Server
Red Hat
Rocky Linux
Suse