Ejecución remota de código en Bitbucket Server
Las versiones de Bitbucket Server afectadas son las siguientes:
- Versiones entre 4.13.0 y 5.4.8
- Versiones entre 5.5.0 y 5.5.8
- Versiones entre 5.6.0 y 5.6.5
- Versiones entre 5.7.0 y 5.7.3
- Versiones entre 5.8.0 y 5.8.2
Atlassian ha informado de una vulnerabilidad de ejecución remota de código en su producto Bitbucket Server que permitiría a un usuario la ejecución remota de código en el servidor a través del navegador.
Se recomienda actualizar a las siguientes versiones de Bitbucket Server:
- 5.4.8
- 5.5.8
- 5.6.5
- 5.7.3
- 5.8.2
- 5.9.0
Para usuarios que no puedan realizar la actualización, se recomienda aplicar las siguientes medidas de mitigación:
- Establecer feature.file.editor al valor false en el archivo bitbucket.properties
- Reinicie Bitbucket Server para que los cambios entren en vigencia
Hay que tener en cuenta que estas medidas no solucionan esta vulnerabilidad a través de complementos de terceros que utilicen la API.
La vulnerabilidad conocida, permitiría a un usuario autenticado de Bitbucket Server obtener la ejecución remota de código usando la función de edición interna del navegador editando un enlace simbólico dentro de un repositorio.
Se ha asignado el identificador CVE-2018-5225 para esta vulnerabilidad.
