Atlassian lanceert patches voor kritieke kwetsbaarheden in Crowd Server and Data Center en Bitbucket Server and Data Center.

Beide kwetsbaarheden hebben een risicoscore van 9. De problemen zijn aanwezig in meerdere productversies.

De kwetsbaarheid in Crowd Server and Data Center wordt gevolgd onder CVE-2022-43782. Het probleem bestaat uit een misconfiguratie waarmee aanvallers wachtwoordcontroles kunnen omzeilen om gemachtigde API endpoints te bereiken.

Crowd Server and Data Center

Volgens Atlassian is de kwetsbaarheid onder bepaalde voorwaarden te misbruiken. Een aanvaller kan de Remote Adress setup wijzigen om een geautoriseerd IP-adres in te voeren dat afwijkt van de standaardinstelling (geen IP-adres).

Atlassian stelt dat aanvallers hierdoor gemachtigde endpoints in de REST API van Crowd kunnen benaderen. De kwetsbare Crowd-versies zijn 3.0.0 tot 3.7.2, 4.0.0 tot 4.4.3 en 5.0.0 tot 5.0.2. Crowd-versies 5.0.3 en 4.4.4 zijn veilig.

Atlassian biedt geen patch voor versie 3.0.0. Deze versie heeft de end-of-life supportfase bereikt.

Bitbucket Server and Data Center

De kwetsbaarheid in Bitbucket Server and Data Center ontstond in productversie 7.0 en staat bekend als CVE-2022-43781. De command injection bug stelt een aanvaller met toegang tot een gebruikersnaam in staat om in bepaalde situaties code uit te voeren.

Alle versies van 7.0 tot en met 7.21 zijn kwetsbaar, ongeacht de configuratie. Versies 8.0 tot en met 8.4 zijn alleen kwetsbaar wanneer ‘mesh.enabled’ in ‘bitbucket.properties’ is uitgeschakeld. CVE-2022-43781 heeft geen invloed op PostgreSQL instances of instances die door Atlassian worden gehost.

Workaround

Gebruikers die de patches op dit moment niet kunnen doorvoeren worden geadviseerd om ‘Public Signup’ te deactiveren. Als gevolg moet een aanvaller zich verifiëren, wat de kans op een incident verkleint.

Tip: Atlassian waarschuwt voor kritieke kwetsbaarheid in Bitbucket