Atlassian Bitbucket Data Center 5.13.x < 5.13.6/5.14.x < 5.14.4/5.15.x < 5.15.3/5.16.x < 5.16.3/6.0.x < 6.0.3/6.1.x < 6.1.2のパストラバーサルの脆弱性(SA-2019-05-22)
critical Nessus プラグイン ID 128055
Language:
概要
リモートホストにインストールされているAtlassian Bitbucket Data Centerのバージョンは、パストラバーサルの脆弱性の影響を受けます。説明
Atlassian BitbucketのData Centerライセンスのバージョン5.13.0から5.13.6(5.13.xの修正済みバージョン)より前、5.14.0から5.14.4(5.14.xの修正済みバージョン)より前、5.15.0から5.15.3(5.15.xの修正済みバージョン)より前、5.16.0から5.16.3(5.16.xの修正済みバージョン)より前、6.0.0から6.0.3(6.0.xの修正済みバージョン)より前、6.1.0から6.1.2(6.1.xの修正済みバージョン)より前のインスタンスでは、管理者のアクセス権限を持つリモートの攻撃者が、Data Centerへの移行ツールを使用したパストラバーサルを介し、BitbucketのServerインスタンスにおいてリモートでコードを実行する可能性があります。Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。ソリューション
バージョン5.13.6/5.14.4/5.15.3/5.16.3/6.0.3/6.1.2以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Critical
ID: 128055
ファイル名: bitbucket_sa-2019-05-22.nasl
バージョン: 1.3
タイプ: remote
ファミリー: CGI abuses
公開日: 2019/8/22
更新日: 2022/4/11
設定: パラノイドモードの有効化, 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.5
CVSS v2
リスクファクター: High
基本値: 9
現状値: 6.7
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS スコアのソース: CVE-2019-3397
CVSS v3
リスクファクター: Critical
基本値: 9.1
現状値: 7.9
ベクトル: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:atlassian:bitbucket
必要な KB アイテム: Settings/ParanoidReport, www/bitbucket
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2019/4/29
脆弱性公開日: 2019/4/18
参照情報
CVE: CVE-2019-3397
BID: 108447