← volver
CVE-2022-36804

CVE-2022-36804

CVSS 8.8 HIGHEPSS 99.2%● KEVCWE-78CWE-88
En resumen

Múltiples puntos de acceso de API en Atlassian Bitbucket Server y Data Center permiten que atacantes con acceso de lectura al repositorio ejecuten código arbitrario mediante solicitudes HTTP maliciosas. Esto posibilita la ejecución remota de código en sistemas afectados, comprometiendo la seguridad del servidor.

Detalle técnico

Vulnerabilidad de Ejecución Remota de Código (RCE) en endpoints de API de Bitbucket explotable mediante solicitudes HTTP malformadas (CWE-78, CWE-88). El ataque requiere solo permisos de lectura en un repositorio; la explotación exitosa permite la ejecución de código arbitrario en el servidor. Afecta versiones sin parches desde 7.0.0 hasta 8.3.0.

Resumen generado y traducido por IA a partir de la descripción oficial.
Multiple API endpoints in Atlassian Bitbucket Server and Data Center 7.0.0 before version 7.6.17, from version 7.7.0 before version 7.17.10, from version 7.18.0 before version 7.21.4, from version 8.0.0 before version 8.0.3, from version 8.1.0 before version 8.1.3, and from version 8.2.0 before version 8.2.2, and from version 8.3.0 before 8.3.1 allows remote attackers with read permissions to a public or private Bitbucket repository to execute arbitrary code by sending a malicious HTTP request. This vulnerability was reported via our Bug Bounty Program by TheGrandPew.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Productos afectados
Atlassian · Bitbucket Data CenterAtlassian · Bitbucket Server
PoCs públicas encontradas21
githubgithub.com/notdls/CVE-2022-3680435githubgithub.com/notxesh/CVE-2022-36804-PoC18githubgithub.com/benjaminhays/CVE-2022-36804-PoC-Exploit16githubgithub.com/SystemVll/CVE-2022-3680412githubgithub.com/walnutsecurity/cve-2022-368048githubgithub.com/ColdFusionX/CVE-2022-368047githubgithub.com/kljunowsky/CVE-2022-36804-POC7githubgithub.com/tahtaciburak/cve-2022-368047githubgithub.com/Chocapikk/CVE-2022-36804-ReverseShell4githubgithub.com/khal4n1/CVE-2022-368043githubgithub.com/Vulnmachines/bitbucket-cve-2022-368043githubgithub.com/asepsaepdin/CVE-2022-368040githubgithub.com/JohanGabrielson/bitbucket-test0githubgithub.com/JRandomSage/CVE-2022-36804-MASS-RCE0githubgithub.com/0xEleven/CVE-2022-36804-ReverseShell0githubgithub.com/devengpk/CVE-2022-368040githubgithub.com/imbas007/Atlassian-Bitbucket-CVE-2022-368040githubgithub.com/DanielHallbro/CVE-2022-36804-Bitbucket-RCE-Analysis0exploitdbwww.exploit-db.com/exploits/51040no verificadocve_referencepacketstormsecurity.com/files/171453/Bitbucket-7.0.0-Remote-Command-Execution.htmlno verificadocve_referencepacketstormsecurity.com/files/168470/Bitbucket-Git-Command-Injection.htmlno verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://packetstormsecurity.com/files/168470/Bitbucket-Git-Command-Injection.htmlhttp://packetstormsecurity.com/files/171453/Bitbucket-7.0.0-Remote-Command-Execution.htmlhttps://jira.atlassian.com/browse/BSERV-13438https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2022-36804