Vulnerabilidad en Bamboo (CVE-2017-14590)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/12/2017
Última modificación:
20/04/2025
Descripción
Bamboo no comprobó que el nombre de una rama en un repositorio de Mercurial contenía parámetros de argumento. Un atacante que tiene permiso para crear un repositorio en Bamboo, editar un plan existente que tenga un repositorio de Mercurial no enlazado, crear o editar un plan en el que haya al menos un repositorio de Mercurial enlazado para el que el atacante tenga permiso de utilización, o commit con ID en un repositorio de Mercurial empleado por un plan Bamboo con la detección de ramas habilitada puede ejecutar el código que elija en sistemas que ejecuten una versión vulnerable de Bamboo Server. Las versiones de Bamboo que comienzan por 2.7.0 anteriores a la 6.1.6 (la versión corregida para 6.1.x) y desde la 6.2.0 anteriores a la 6.2.5 (la versión corregida para 6.2.x) se han visto afectadas por esta vulnerabilidad.
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
9.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:atlassian:bamboo:*:*:*:*:*:*:*:* | 2.7.0 (incluyendo) | 6.1.6 (excluyendo) |
| cpe:2.3:a:atlassian:bamboo:*:*:*:*:*:*:*:* | 6.2.0 (incluyendo) | 6.2.5 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/102193
- https://confluence.atlassian.com/bamboo/bamboo-security-advisory-2017-12-13-939939816.html
- https://jira.atlassian.com/browse/BAM-18843
- http://www.securityfocus.com/bid/102193
- https://confluence.atlassian.com/bamboo/bamboo-security-advisory-2017-12-13-939939816.html
- https://jira.atlassian.com/browse/BAM-18843