PT-2022-7267 · Atlassian · Bamboo+1
Sandipan Roy
·
Publicado
2022-12-01
·
Atualizado
2024-10-10
·
CVE-2022-4244
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
codeplex-codehaus (versões afetadas não especificadas)
Bamboo Data Center e Server, versões 9.2.1 a 9.2.7
Descrição
Foi encontrada uma falha no codeplex-codehaus, permitindo que um ataque de traversal de diretório acesse arquivos e diretórios armazenados fora da pasta pretendida. Ao manipular arquivos com sequências
../ e suas variações ou ao usar caminhos absolutos de arquivos, pode ser possível acessar arquivos e diretórios arbitrários armazenados no sistema de arquivos, incluindo código-fonte de aplicativos, configuração e outros arquivos críticos do sistema.Recomendações
Para as versões 9.2.1 a 9.2.7 do Bamboo Data Center e Server, atualize para uma versão igual ou superior à 9.2.8.
Como solução alternativa temporária, considere restringir o acesso a arquivos e diretórios confidenciais para minimizar o risco de exploração.
Evite usar caminhos absolutos de arquivos nos pontos de extremidade da API afetados até que o problema seja resolvido.
Restrinja o acesso ao módulo vulnerável para minimizar o risco de exploração.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Bamboo
Bamboo Server