Sintesi

Aggiornamenti di sicurezza sanano molteplici vulnerabilità in vari prodotti. Tra queste se ne evidenzia una con gravità “alta” presente nel prodotto Sourcetree, client gratuito per Git e Mercurial sviluppato da Atlassian, che offre un’interfaccia grafica per gestire i repository di codice. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato remoto l’esecuzione di codice arbitrario sui prodotti interessati.

Tipologia

• Remote Code Execution

Prodotti e/o versioni affette

Atlassian

• Sourcetree for Mac, versione 4.2.8
• Sourcetree for Windows, versione 3.4.19

Azioni di mitigazione

In linea con le dichiarazioni del vendor si raccomanda di intraprendere le azioni di mitigazione seguendo le istruzioni fornite nei bollettini di sicurezza riportati nella sezione Riferimenti.

Identificatori univoci vulnerabilità

CVE-2024-21697

Riferimenti

https://confluence.atlassian.com/security/security-bulletin-november-19-2024-1456179091.html

https://jira.atlassian.com/browse/SRCTREE-8168

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.