ASA-2019-00307 – BitBucket: Path traversal na ferramenta de migração que conduz a execução remota de código (RCE)


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00307

Identificador(es)

ASA-2019-00307, CVE-2019-3397

Título

Path traversal na ferramenta de migração que conduz a execução remota de código (RCE)

Fabricante(s)

Atlassian

Produto(s)

Bitbucket Data Center

Versão(ões) afetada(s)

Bitbucket Data Center da versão 5.13.0 anterior a 5.13.6
Bitbucket Data Center da versão 5.14.0 anterior a 5.14.4
Bitbucket Data Center da versão 5.15.0 anterior a 5.15.3
Bitbucket Data Center da versão 5.16.0 anterior a 5.16.3
Bitbucket Data Center da versão 6.0.0 anterior a 6.0.3
Bitbucket Data Center da versão 6.1.0 anterior a 6.1.2

Versão(ões) corrigida(s)

Bitbucket Data Center versão 5.13.5
Bitbucket Data Center versão 5.14.3
Bitbucket Data Center versão 5.5.2
Bitbucket Data Center versão 6.0.3
Bitbucket Data Center versão 6.1.1

Prova de conceito

Desconhecido

Descrição

O Bitbucket Data Center tinha uma vulnerabilidade de path traversal na ferramenta de migração do Data Center. Um atacante remoto com usuário autenticado com permissões de administrador pode explorar essa vulnerabilidade de path traversal para gravar arquivos em locais arbitrários que podem levar à execução remota de código em sistemas que executam uma versão vulnerável do Bitbucket Data Center. As versões do Bitbucket Server sem uma licença do Data Center não são vulneráveis a esta vulnerabilidade.

Detalhes técnicos

Desconhecido

Créditos

Johannes Moritz (RIPS Technologies)

Referência(s)

Bitbucket Server security advisory 2019-05-22
https://confluence.atlassian.com/bitbucketserver/bitbucket-server-security-advisory-2019-05-22-969526871.html

Bitbucket Server security advisory 2019-05-22
https://seclists.org/bugtraq/2019/May/61

Bitbucket Data Center – Path traversal in the migration tool leads to RCE – CVE-2019-3397
https://jira.atlassian.com/browse/BSERV-11706

CVE-2019-3397
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3397

CVE-2019-3397
https://nvd.nist.gov/vuln/detail/CVE-2019-3397

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 24 maio 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.