Af Eskil Sørensen, 21/11/22
Atlassian har rettet kritiske sårbarheder i sine Crowd- og Bitbucket-produkter.
Det skriver Security Week.
I Bitbucket-hostingtjenesten drejer det sig om CVE-2022-43781, som er en kritisk command injection-sårbarhed, der påvirker Bitbucket Server og Data Center version 7 og i nogle tilfælde version 8. En angriber, som har tilladelse til at kontrollere deres brugernavn kan udnytte dette problem til at eksekvere kode på systemet. Der er blevet udsendt opdateringer til både BitBucket 7 og 8 til håndtering af problemet. CVSS-scoren er på 9,8.
Atlassian Cloud-websteder er efter det oplyste ikke berørt.
Den anden sårbarhed, CVE-2022-43782, vedrører Atlassian Crowd. Crowd er en applikationssikkerhedsramme, der håndterer godkendelse og autorisation til webbaserede applikationer. Sårbarheden er en issue i sikkerhedskonfigurationen. Også denne har en score på 9,8. Sårbarheden påvirker alle versioner, der starter med 3.0.0. Tidligere versioner end 3.0.0 er ikke påvirket.
Atlassian forklarer i sin advisory, at sårbarheden gør det muligt for en angriber at kalde privilegerede slutpunkter i Crowds REST API under brugeradministrationsstien.
Der ser ikke ud til at være tegn på ondsindet udnyttelse - sårbarheden blev opdaget internt af Atlassian - men indikatorer for kompromis (IoC'er) er også blevet gjort tilgængelige for CVE-2022-43782.
Ifølge Security Week er det ikke ualmindeligt, at trusselsaktører udnytter sårbarheder i Atlassian-produkter i deres angreb. I sidste måned advarede CISA om, at udnyttelsesforsøg mod en Bitbucket-sårbarhed startede ugen efter, at patches blev frigivet.
Links:
https://www.securityweek.com/atlassian-patches-critical-vulnerabilities-bitbucket-crowd