NVD脆弱性詳細
Exploit、PoC検索
CVE-2020-36233
概要

The Microsoft Windows Installer for Atlassian Bitbucket Server and Data Center before version 6.10.9, 7.x before 7.6.4, and from version 7.7.0 before 7.10.1 allows local attackers to escalate privileges because of weak permissions on the installation directory.

公表日 2021年2月19日5:15
登録日 2021年2月19日10:01
最終更新日 2024年11月21日14:29
CVSS3.1 : HIGH
スコア 7.8
ベクター CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(AV) ローカル
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR)
利用者の関与(UI) 不要
影響の想定範囲(S) 変更なし
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
CVSS2.0 : MEDIUM
スコア 4.6
ベクター AV:L/AC:L/Au:N/C:P/I:P/A:P
攻撃元区分(AV) ローカル
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
全ての特権を取得 いいえ
ユーザー権限を取得 いいえ
その他の権限を取得 いいえ
ユーザー操作が必要 いいえ
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:atlassian:bitbucket:*:*:*:*:*:*:*:* 6.10.9
cpe:2.3:a:atlassian:bitbucket:*:*:*:*:*:*:*:* 7.0.0 7.6.4
cpe:2.3:a:atlassian:bitbucket:*:*:*:*:*:*:*:* 7.7.0 7.10.1
実行環境
1 cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧
JVN脆弱性情報
Atlassian 製 Bitbucket にインストールディレクトリの ACL 設定不備による権限昇格の脆弱性
タイトル Atlassian 製 Bitbucket にインストールディレクトリの ACL 設定不備による権限昇格の脆弱性
概要

Atlassian 製 Bitbucket には、デフォルトのインストールディレクトリにおいて ACL が適切に設定されないことに起因する権限昇格の脆弱性が存在します。 Bitbucket は、Atlassian が提供するソースコードおよびプロジェクト管理ツールです。 該当製品のインストーラは、C:\Atlassian\Bitbucket\ のようなデフォルトのインストールディレクトリに対して ACL を適切に設定できません。そのため、管理者権限を持たない Windows ユーザによって当該フォルダに悪意のある DLL ファイルを配置され、SYSTEM 権限で任意のコードを実行してしまう可能性があります。

想定される影響 特別に細工された DLL ファイルを当該製品のインストールディレクトリ配下に配置されることにより、当該製品がインストールされている Windows システムにおいて SYSTEM 権限で任意のコードが実行される可能性があります。
対策

[アップデートする] 開発者が提供する情報をもとに、最新版にアップデートしてください。 開発者は、本脆弱性の対策として次のバージョンをリリースしています。  * Bitbucket 6.10.9  * Bitbucket 7.6.4  * Bitbucket 7.10.1
公表日 2021年2月19日0:00
登録日 2021年2月22日16:15
最終更新日 2021年2月22日16:15
影響を受けるシステム
Atlassian
Bitbucket 6.10.9 より前のバージョン
Bitbucket 7.10.0
Bitbucket 7.6.4 より前のバージョン
Bitbucket 7.7.x 系すべてのバージョン
Bitbucket 7.8.x 系すべてのバージョン
Bitbucket 7.9.x 系すべてのバージョン
CVE (情報セキュリティ 共通脆弱性識別子)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
1 [2021年02月22日]
  掲載		 2021年2月22日16:15