Vulnerabilidad en Bitbucket Server y Data Center (CVE-2022-43781)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-77
Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
17/11/2022
Última modificación:
02/10/2024
Descripción
Existe una vulnerabilidad de inyección de comandos mediante variables de entorno en Bitbucket Server y Data Center. Un atacante con permiso para controlar su nombre de usuario puede aprovechar este problema para ejecutar código arbitrario en el sistema. Esta vulnerabilidad puede no autenticarse si la instancia de Bitbucket Server y Data Center ha habilitado "Allow public signup".
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:atlassian:bitbucket:*:*:*:*:*:*:*:* | 7.0.0 (incluyendo) | 7.6.19 (excluyendo) |
| cpe:2.3:a:atlassian:bitbucket:*:*:*:*:*:*:*:* | 7.7.0 (incluyendo) | 7.17.12 (excluyendo) |
| cpe:2.3:a:atlassian:bitbucket:*:*:*:*:*:*:*:* | 7.18.0 (incluyendo) | 7.21.6 (excluyendo) |
| cpe:2.3:a:atlassian:bitbucket:*:*:*:*:*:*:*:* | 7.22.0 (incluyendo) | 8.0.5 (excluyendo) |
| cpe:2.3:a:atlassian:bitbucket:*:*:*:*:*:*:*:* | 8.1.0 (incluyendo) | 8.1.5 (excluyendo) |
| cpe:2.3:a:atlassian:bitbucket:*:*:*:*:*:*:*:* | 8.2.0 (incluyendo) | 8.2.4 (excluyendo) |
| cpe:2.3:a:atlassian:bitbucket:*:*:*:*:*:*:*:* | 8.3.0 (incluyendo) | 8.3.3 (excluyendo) |
| cpe:2.3:a:atlassian:bitbucket:*:*:*:*:*:*:*:* | 8.4.0 (incluyendo) | 8.4.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página