Actualización en el software de integración continua Atlassian Bamboo soluciona dos graves vulnerabilidades
Han sido descubiertas dos vulnerabilidades en Bamboo, del grupo Atlassian, que podría permitir la ejecución remota de código en el host de Bamboo y la ejecución arbitraria de argumentos sobre un servidor Mercurial configurado en el sistema.
Bamboo es una herramienta pertenecientes a la suite para empresas y desarrolladores de software Atlassian, creado específicamente para satisfacer los ciclos de integración continua y despliegue de aplicaciones.
Las dos vulnerabilidades han recibido los identificadores CVE-2017-14589 y CVE-2017-14590.
La primera de ellas, la vulnerabilidad asociada al CVE-2017-14589, permitiría a un atacante remoto ejecutar código a través de una web especialmente manipulada que sea visitada por la administración del host. El código que permite la vulnerabilidad pertenece a la librería de código abierto para Java, OGNL, que permite el uso del lenguaje de expresiones del mismo nombre.
La segunda de ellas, asociada al CVE-2017-14590, podría permitir a un usuario de la plataforma poder ejecutar argumentos contra un servidor Mercurial configurado en el sistema, saltándose las restricciones de acceso definidas por la propia plataforma y de este modo permitir la ejecución arbitraria de parámetros. Esto daría a este atacante la posibilidad de insertar argumentos arbitrarios sobre el servidor Mercurial.
Estos dos fallos ya han sido solucionados a partir de las versiones 6.1.6 y 6.2.5, por lo que recomendamos desde Hispasec a los usuarios de este software actualizar inmediatamente a la última versión de la rama correspondiente.
Bamboo es una herramienta pertenecientes a la suite para empresas y desarrolladores de software Atlassian, creado específicamente para satisfacer los ciclos de integración continua y despliegue de aplicaciones.
Las dos vulnerabilidades han recibido los identificadores CVE-2017-14589 y CVE-2017-14590.
La primera de ellas, la vulnerabilidad asociada al CVE-2017-14589, permitiría a un atacante remoto ejecutar código a través de una web especialmente manipulada que sea visitada por la administración del host. El código que permite la vulnerabilidad pertenece a la librería de código abierto para Java, OGNL, que permite el uso del lenguaje de expresiones del mismo nombre.
La segunda de ellas, asociada al CVE-2017-14590, podría permitir a un usuario de la plataforma poder ejecutar argumentos contra un servidor Mercurial configurado en el sistema, saltándose las restricciones de acceso definidas por la propia plataforma y de este modo permitir la ejecución arbitraria de parámetros. Esto daría a este atacante la posibilidad de insertar argumentos arbitrarios sobre el servidor Mercurial.
Estos dos fallos ya han sido solucionados a partir de las versiones 6.1.6 y 6.2.5, por lo que recomendamos desde Hispasec a los usuarios de este software actualizar inmediatamente a la última versión de la rama correspondiente.
Más información:
Bamboo Security Advisory 2017-12-13:
Powered by WPeMatico