viernes, 22 de abril de 2022

Vulnerabilidad crítica de ejecución remota de código en Atlassian Bitbucket Data Center: Actualice de inmediato

Esta semana Atlassian emitió un reporte de seguridad en el que anunciaban la corrección de CVE-2022-26133, una vulnerabilidad de ejecución de código en Atlassian Bitbucket Data Center, una plataforma de colaboración de código lanzada que admite la revisión de código, la gestión de permisos de sucursales, CICD y otras funciones.

En su alerta, Atlassian señala que varios de sus productos utilizan el software de terceros Hazelcast, que es vulnerable a los ataques de deserialización de Java; estos productos utilizan Hazelcast cuando están configurados para su ejecución como clúster. La vulnerabilidad existe debido a un error de deserialización porque la interfaz Hazelcast en Atlassian Bitbucket Data Center no filtra los datos ingresados por el usuario como debería.

Los actores de amenazas no autenticados podrían explotar esta falla enviando solicitudes especialmente diseñadas, lo que llevaría a la ejecución de código arbitrario. La falla solo reside en implementaciones Atlassian Data Centers instaladas en modo clúster y se considera un error de seguridad de nivel crítico.

Según el reporte, las siguientes versiones de Bitbucket Data Center se ven afectadas:

  • Todas las versiones >= 5.14.x
  • Todas las versiones 6.x
  • Todas las versiones 7.x < 7.6.14
  • Todas las versiones de 7.7.x a 7.16.x
  • 7.17.x <7.17.6
  • 7.18.x <7.18.4
  • 7.19.x <7.19.4
  • 7.20.0

Atlassian señaló que Bitbucket Server y Bitbucket Cloud no se ven afectados.

Los equipos de seguridad de la compañía lanzaron la versión actualizada de Bitbucket Data Center después de reparar abordar el error. Si los usuarios no pueden aplicar las actualizaciones, Atlassian recomienda restringir el acceso al puerto Hazelcast mediante el uso de un firewall u otros controles de acceso a la red como solución alternativa. Además, el puerto solo debe ser accesible para otros nodos en el clúster de Bitbucket o Confluence; recuerde que para Bitbucket Data Center, Hazelcast usa el puerto TCP 5701 de forma predeterminada.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).  

El cargo Vulnerabilidad crítica de ejecución remota de código en Atlassian Bitbucket Data Center: Actualice de inmediato apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

No hay comentarios.:

Publicar un comentario