Atlassian ha
informado de una vulnerabilidad de ejecución remota de código en su producto
Bitbucket Server que permitiría a un usuario la ejecución remota de código en
el servidor a través del navegador, catalogada de Importancia: 5 - Crítica
Recursos afectados:
Las versiones de
Bitbucket Server afectadas son las siguientes:
- Versiones entre
4.13.0 y 5.4.8
- Versiones entre
5.5.0 y 5.5.8
- Versiones entre
5.6.0 y 5.6.5
- Versiones entre
5.7.0 y 5.7.3
- Versiones entre
5.8.0 y 5.8.2
Recomendación
Se recomienda
actualizar a las siguientes versiones de Bitbucket Server:
·
5.4.8
·
5.5.8
·
5.6.5
·
5.7.3
·
5.8.2
·
5.9.0
Para usuarios que no
puedan realizar la actualización, se recomienda aplicar las siguientes medidas
de mitigación:
·
Establecer
feature.file.editor al valor false en el archivo bitbucket.properties
·
Reinicie
Bitbucket Server para que los cambios entren en vigencia
Hay que tener en
cuenta que estas medidas no solucionan esta vulnerabilidad a través de
complementos de terceros que utilicen la API.
Detalle de vulnerabilidades
La vulnerabilidad
conocida, permitiría a un usuario autenticado de Bitbucket Server obtener la
ejecución remota de código usando la función de edición interna del navegador
editando un enlace simbólico dentro de un repositorio.
Se ha asignado el
identificador CVE-2018-5225 para esta vulnerabilidad.
Más información
- Bitbucket Server security advisory 2018-03-21 https://confluence.atlassian.com/bitbucketserver/bitbucket-server-security-advisory-2018-03-21-946627549.html
Fuente: INCIBE