この記事は、2020年8月5日に Adaptavist 社から配信された 件名「 ScriptRunner for BitBucket Vulnerability Identified - Update to Fix」のメールを日本語翻訳しています。 |
以下、 ScriptRunner for Bitbucket Server/Data Center の最近発見したセキュリティ脆弱性をお知らせします。
本脆弱性は、 ScriptRunner for Bitbucket の ver.5.4.29 から 6.5.1 と 6.5.1-p5 より前のすべてのバージョンに影響します。
この脆弱性は、アトラシアンの Atlassian's Security Levels for Security Issues に従って High と評価されました。
悪意のある認証済みの Bitbucket ユーザーは、管理者権限を持たない場合でも、Bitbucket インスタンス内で任意のコードを実行できます。
現時点では、この脆弱性が悪用された事例はまだございませんが、すべてのお客様に、スクリプトと構成をチェックし期待通りの設定か確認することをお勧めします。
ソースコードの内部セキュリティ監査の一部として特定され、アプリ(アドオン)ベンダーの Adaptavist 社 は、この問題を認識した後、ただちにこの欠陥を修正しました。
本脆弱性については、右記の課題で追跡できます。:https://productsupport.adaptavist.com/browse/SRBITB-816
ScriptRunner for Bitbucket を修正済みバージョンへアップデートしてください。
あなたの環境のこの脆弱性を修正するために、以下のバージョンへ、ScriptRunner for Bitbucket をアップデートするようにお願いします。