Vulnerabilidad en Bamboo (CVE-2017-14589)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
13/12/2017
Última modificación:
20/04/2025
Descripción
Era posible que ocurriese una evaluación doble de OGNL en las plantillas de FreeMarker con etiquetas Struts FreeMarker. Un atacante que cuente con derechos restringidos de administración en Bamboo o que aloje un sitio web que visite un administrador de Bamboo es capaz de explotar esta vulnerabilidad para ejecutar el código Java que elija en sistemas que ejecuten una versión vulnerable de Bamboo. Todas las versiones de Bamboo anteriores a la 6.1.6 (la versión corregida para 6.1.x) y desde la 6.2.0 anteriores a la 6.2.5 (la versión corregida para 6.2.x) se han visto afectadas por esta vulnerabilidad.
Impacto
Puntuación base 3.x
9.60
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:atlassian:bamboo:*:*:*:*:*:*:*:* | 6.1.6 (excluyendo) | |
| cpe:2.3:a:atlassian:bamboo:*:*:*:*:*:*:*:* | 6.2.0 (incluyendo) | 6.2.5 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/102188
- https://confluence.atlassian.com/bamboo/bamboo-security-advisory-2017-12-13-939939816.html
- https://jira.atlassian.com/browse/BAM-18842
- http://www.securityfocus.com/bid/102188
- https://confluence.atlassian.com/bamboo/bamboo-security-advisory-2017-12-13-939939816.html
- https://jira.atlassian.com/browse/BAM-18842