vendredi, 29 mars 2024

Atlassian met en garde contre une vulnérabilité critique dans Bitbucket

Bitbucket est un outil de code basé sur Git pour l’hébergement, la gestion et la collaboration. L’outil s’intègre aux options Jira et Trello d’Atlassian. La vulnérabilité trouvée a été surnommée CVE-2022-36804 et permet l’injection de commandes dans divers points de terminaison d’API utilisés par l’outil.

Les pirates ayant accès au référentiel public et lisant les consentements pour les référentiels Bitbucket privés peuvent effectuer des opérations approximatives. code en envoyant simplement une demande HTTP malveillante au référentiel cible. Atlassian a découvert la vulnérabilité via son programme Bug Bounty.

Toutes les variantes entre 7.0 et 8.3 sont vulnérables

Atlassian suggère que la vulnérabilité affecte toutes les versions de Bitbucket Server et Datacenter postérieures à la 6.10.17 y. Cela inclut les variantes 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.1.3, 8.2.2 et 8.3.1. Atlassian a déclaré que les variantes basées sur le cloud de Bitbucket Server et Datacenter ne sont pas affectées par la vulnérabilité. Ces versions résident sur des instances hébergées par Atlassian.

Correctifs lancés

Atlassian a lancé un certain nombre de correctifs pour différentes versions. Selon Atlassian, les utilisateurs qui ne peuvent pas exécuter pour le moment doivent désactiver brièvement les référentiels publics via feature.public.access=false. Cela doit empêcher les utilisateurs non approuvés d’accéder aux instances. Les utilisateurs autorisés conservent l’accès. Par conséquent, les instances restent sensibles aux pirates qui ont en fait des comptes sous licence.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici