この記事は、2020年8月5日に Adaptavist 社から配信された件名「 ScriptRunner for BitBucket Vulnerability Identified - Update to Fix」のメールを日本語翻訳しています。

ScriptRunner for Bitbucket のクリティカルな脆弱性について

以下、 ScriptRunner for Bitbucket Server/Data Center の最近発見したセキュリティ脆弱性をお知らせします。

セキュリティ脆弱性の対象製品バージョン

本脆弱性は、 ScriptRunner for Bitbucket の ver.5.4.29 から 6.5.1 と 6.5.1-p5 より前のすべてのバージョンに影響します。
この脆弱性は、アトラシアンの Atlassian's Security Levels for Security Issues に従って High と評価されました。

本脆弱性について

悪意のある認証済みの Bitbucket ユーザーは、管理者権限を持たない場合でも、Bitbucket インスタンス内で任意のコードを実行できます。
現時点では、この脆弱性が悪用された事例はまだございませんが、すべてのお客様に、スクリプトと構成をチェックし期待通りの設定か確認することをお勧めします。
ソースコードの内部セキュリティ監査の一部として特定され、アプリ（アドオン）ベンダーの Adaptavist 社は、この問題を認識した後、ただちにこの欠陥を修正しました。

本脆弱性については、右記の課題で追跡できます。：https://productsupport.adaptavist.com/browse/SRBITB-816

脆弱性を修正するには

ScriptRunner for Bitbucket を修正済みバージョンへアップデートしてください。

あなたの環境のこの脆弱性を修正するために、以下のバージョンへ、ScriptRunner for Bitbucket をアップデートするようにお願いします。

Bitbucket version 6.0.0、もしくはそれより上のバージョンの場合
ScriptRunner for Bitbucket version 6.5.1-p5 へアップデートしてください。
Bitbucket versions 5.6.1- 5.16.11 の場合
ScriptRunner for Bitbucket version 6.5.1 へアップデートしてください。
Bitbucket version 5.6.0 もしくはそれより下のバージョンの場合
ScriptRunner をアップデートする前に、Bitbucket をサポートされているバージョンまでアップデートしてください。

サポートされていないブラウザーです