在Bitbucket Server和Data Center中发现的关键命令注入漏洞CVE-2022-36804

研究人员警告说，Bitbucket产品中的一个关键命令注入漏洞可能允许攻击者执行任意代码。Bitbucket是Atlassian拥有的基于Git的源代码存储库托管服务。

CVE-2022-36804 Bitbucket Server和Data Center的多个API端点中的命令注入漏洞。此漏洞可能允许对公共或私有 Bitbucket 储库具有读取权限的远程攻击者通过发送恶意HTTP请求来执行任意代码。

它是由研究人员“The Grand Pew”发现的，他通过Bugcrowd的漏洞赏金计划报告了它。

6.10.17之后发布的所有服务器和数据中心版本都会受到影响，这意味着运行7.0.0和8.3.0（含）之间任何版本的所有实例都容易受到攻击。

敦促用户更新到最新版本。对于那些不能的人，Bitbucket提供了一种解决方法。

一篇博客文章写道：“一个临时的缓解步骤是通过设置feature.public.access=false来全局关闭公共存储库，因为这会将攻击向量从未经授权的攻击更改为授权攻击。”

原文始发于微信公众号（郑州网络安全）：在Bitbucket Server和Data Center中发现的关键命令注入漏洞CVE-2022-36804