CVE-2017-8907 in Bambooinformazioni

Riassunto

di VulDB • 18/06/2026

Atlassian Bamboo 5.x prima della versione 5.15.7 e 6.x prima della versione 6.0.1 non verificava correttamente se un utente che stava creando un progetto di distribuzione (deployment project) avesse i permessi di modifica e, di conseguenza, i diritti per farlo. Un attaccante in grado di accedere a Bamboo come utente senza i permessi di modifica per i progetti di distribuzione è in grado di sfruttare questa vulnerabilità, purché esista un piano esistente con un build verde, per creare un progetto di distribuzione ed eseguire codice arbitrario su un Bamboo Agent disponibile. Per impostazione predefinita, un agente locale è abilitato; ciò significa che l'esecuzione del codice può avvenire sul sistema che ospita Bamboo come l'utente che sta eseguendo Bamboo.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Prenotare

12/05/2017

Divulgazione

14/06/2017

Moderazione

accettato

Voce

VDB-102545

CPE

pronto

CWE

CWE-264 (confermato)

CVSS

8.8 (NVD)

EPSS

0.01638

KEV

Attività

molto basso

Fonti

MITRE	https://www.cve.org/CVERecord?id=CVE-2017-8907
NVD	https://nvd.nist.gov/vuln/detail/CVE-2017-8907
CVE Details	https://www.cvedetails.com/cve/CVE-2017-8907/

◂ Precedente Visione D'ensemble Il prossimo ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!