CVE-2019-3397

Atlassian Bitbucket Data Center con licencias que comienzan con la versión 5.13.0 anterior a la 5.13.6 (la versión fija para 5.13.x), desde la versión 5.14.0 anterior a la 5.14.4 (versión fija para la 5.14.x), desde la versión 5.15.0 hasta la 5.15. 3 (versión fija para 5.15.x), de versión 5.16.0 anterior a 5.16.3 (versión fija de 5.16.x), desde versión 6.0.0 anterior a 6.0.3 (versión fija para 6.0.x), y desde versión 6.1.0 anterior a 6.1.2 (la versión fija para 6.1.x), permite a los atacanterior remotos con permisos de administrador lograr la ejecución de código remota en una instancia del servidor Bitbucket por medio de un salto de path (path trasversal) de la herramienta de migración del Centro de Datos.

Bitbucket Data Center had a path traversal vulnerability in the Data Center migration tool. A remote attacker with authenticated user with admin permissions can exploit this path traversal vulnerability to write files to arbitrary locations which can lead to remote code execution on systems that run a vulnerable version of Bitbucket Data Center. Bitbucket Server versions without a Data Center license are not vulnerable to this vulnerability. Versions of Bitbucket Server starting with 5.13.0 before 5.13.6 (the fixed version for 5.13.x), from 5.14.0 before 5.14.4 (fixed version for 5.14.x), from 5.15.0 before 5.15.3 (fixed version for 5.13.x), from 6.0.0 before 6.0.3 (fixed version for 6.0.x), and from 6.1.0 before 6.1.2 (the fixed version for 6.1.x) are affected by this vulnerability.