Atlassian Bitbucket < 7.6.19 / 7.17.12 / 7.21.6 / 8.0.5 / 8.1.5 / 8.2.4 / 8.3.3 / 8.4.2 のコマンドインジェクション
critical Nessus プラグイン ID 170143
Language:
概要
リモートホストにインストールされている Atlassian Bitbucket のバージョンは、コマンドインジェクションの脆弱性の影響を受けます。説明
リモートホストにインストールされている Atlassian Bitbucket のバージョンが 7.6.19 より前の 7.0.0、7.17.12 より前の 7.7.0、7.21.6 より前の 7.18.0、8.0.5 より前の 8.0、8.1.5 より前の 8.1、8.2.4 より前の 8.2、8.3.3 より前の 8.3、8.4.2 より前の 8.4 です。したがって、Bitbucket Server および Data Center において、環境変数を利用したコマンドインジェクションの脆弱性の影響を受けます。ユーザー名をコントロールする権限を持つ攻撃者がこの問題を悪用して、コード実行権を獲得し、システムでコードを実行する可能性があります。Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
バージョン 7.6.19、7.17.12、7.21.6、8.0.5、8.1.5、8.2.4、8.3.3、8.4.2 以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Critical
ID: 170143
ファイル名: bitbucket_8_4_2.nasl
バージョン: 1.2
タイプ: remote
ファミリー: CGI abuses
公開日: 2023/1/18
更新日: 2023/3/17
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.4
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 8.3
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2022-43781
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 9.1
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:atlassian:bitbucket
必要な KB アイテム: installed_sw/bitbucket
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2022/11/16
脆弱性公開日: 2022/11/16
エクスプロイト可能
Metasploit (Bitbucket Environment Variable RCE)
参照情報
CVE: CVE-2022-43781