【漏洞报送】Atlassian Bitbucket命令注入漏洞

admin 2022年8月30日19:01:57安全漏洞评论13 views690字阅读2分18秒阅读模式
【漏洞报送】Atlassian Bitbucket命令注入漏洞


0x01 Atlassian Bitbucket Data Center

Atlassian Bitbucket Data Center 是 Atlassian 推出的一款现代化代码协作平台,支持代码审查、分支权限管理、CICD 等功能。

【漏洞报送】Atlassian Bitbucket命令注入漏洞


0x02 漏洞描述

2022年8月24日,Atlassian发布安全公告,修复了一个存在于 Atlassian Bitbucket Data Center和Bitbucket Server中的命令注入漏洞,漏洞编号:CVE-2022-36804,漏洞威胁等级:严重,漏洞评分:9.9。

Bitbucket Server和Bitbucket Data Center的多个API端点中存在命令注入漏洞,可在对公共或私有Bitbucket储存库具有读取权限的情况下,通过发送恶意的HTTP请求执行任意代码。


受影响版本

Bitbucket Server和Bitbucket Data Center - Atlassian

=7.6

=7.17

=7.21

=8.0

=8.1

=8.2

=8.3


0x03 漏洞信息

漏洞编号:CVE-2022-36804

漏洞POC:暂无

漏洞EXP:暂无

漏洞危害:严重 命令注入


0x04 解决方案

正式防护方案:

厂商已发布补丁修复漏洞,用户请尽快更新至安全版本

7.6.17 ( LTS  ) 或更高版本

7.17.10 (  LTS ) 或更高版本

7.21.4 ( LTS  ) 或更高版本

8.0.3 或更高版本

8.1.3或更高版本

8.2.2或更高版本

8.3.1或更高版本


与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。


【漏洞报送】Atlassian Bitbucket命令注入漏洞



原文始发于微信公众号(寻云安全团队):【漏洞报送】Atlassian Bitbucket命令注入漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月30日19:01:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞报送】Atlassian Bitbucket命令注入漏洞 http://cn-sec.com/archives/1264194.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: