Ejecución remota de código en Bitbucket Server
Fecha de publicación
23/03/2018
Importancia
5 - Crítica
Recursos Afectados
Las versiones de Bitbucket Server afectadas son las siguientes:
- Versiones entre 4.13.0 y 5.4.8
- Versiones entre 5.5.0 y 5.5.8
- Versiones entre 5.6.0 y 5.6.5
- Versiones entre 5.7.0 y 5.7.3
- Versiones entre 5.8.0 y 5.8.2
Descripción
Atlassian ha informado de una vulnerabilidad de ejecución remota de código en su producto Bitbucket Server que permitiría a un usuario la ejecución remota de código en el servidor a través del navegador.
Solución
Se recomienda actualizar a las siguientes versiones de Bitbucket Server:
- 5.4.8
- 5.5.8
- 5.6.5
- 5.7.3
- 5.8.2
- 5.9.0
Para usuarios que no puedan realizar la actualización, se recomienda aplicar las siguientes medidas de mitigación:
- Establecer feature.file.editor al valor false en el archivo bitbucket.properties
- Reinicie Bitbucket Server para que los cambios entren en vigencia
Hay que tener en cuenta que estas medidas no solucionan esta vulnerabilidad a través de complementos de terceros que utilicen la API.
Detalle
Listado de referencias
Etiquetas