Sintesi
Aggiornamenti di sicurezza sanano molteplici vulnerabilità in vari prodotti. Tra queste se ne evidenzia una con gravità “alta” presente nel prodotto Sourcetree, client gratuito per Git e Mercurial sviluppato da Atlassian, che offre un’interfaccia grafica per gestire i repository di codice. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato remoto l’esecuzione di codice arbitrario sui prodotti interessati.
Rischio
Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (65,12/100)1.
Tipologia
- Remote Code Execution
Prodotti e/o versioni affette
Atlassian
- Sourcetree for Mac, versione 4.2.8
- Sourcetree for Windows, versione 3.4.19
Azioni di mitigazione
In linea con le dichiarazioni del vendor si raccomanda di intraprendere le azioni di mitigazione seguendo le istruzioni fornite nei bollettini di sicurezza riportati nella sezione Riferimenti.
Identificatori univoci vulnerabilità
Riferimenti
https://confluence.atlassian.com/security/security-bulletin-november-19-2024-1456179091.html
https://jira.atlassian.com/browse/SRCTREE-8168
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.