Atlassian Bitbucket Server and Data Center命令注入漏洞风险提示

admin 2022年11月23日23:14:05安全新闻评论13 views1794字阅读5分58秒阅读模式
Atlassian Bitbucket Server and Data Center命令注入漏洞风险提示


漏洞公告

近日,安恒信息CERT监测到Atlassian发布安全公告,修复了Bitbucket Server and Data Center命令注入漏洞(CVE-2022-43781),CVSS评分9.8。该漏洞允许具有控制用户名权限的攻击者利用环境变量进行命令注入,从而实现系统命令执行。此漏洞影响范围广泛,建议受影响的用户尽快采取安全措施。


参考链接:

https://confluence.atlassian.com/bitbucketserver/bitbucket-server-and-data-center-security-advisory-2022-11-16-1180141667.html



影响范围


受影响版本:

7.0 <= Bitbucket Server and Data Center <= 7.5

7.6.0 <= Bitbucket Server and Data Center <= 7.6.18

7.7 <= Bitbucket Server and Data Center <= 7.16

7.17.0 <= Bitbucket Server and Data Center <= 7.17.11

7.18 <= Bitbucket Server and Data Center <= 7.20

7.21.0 <= Bitbucket Server and Data Center <= 7.21.5

如果在bitbucket.properties中设置了mesh.enabled=false,则以下版本也受影响:

8.0.0 <= Bitbucket Server and Data Center <= 8.0.4

8.1.0 <= Bitbucket Server and Data Center <= 8.1.4

8.2.0 <= Bitbucket Server and Data Center <= 8.2.3

8.3.0 <= Bitbucket Server and Data Center <= 8.3.2

8.4.0 <= Bitbucket Server and Data Center <= 8.4.1


安全版本:

Bitbucket Server and Data Center ≥ 7.6.19 

Bitbucket Server and Data Center ≥ 7.17.12 

Bitbucket Server and Data Center ≥ 7.21.6

Bitbucket Server and Data Center ≥ 8.0.5

Bitbucket Server and Data Center ≥ 8.1.5

Bitbucket Server and Data Center ≥ 8.2.4

Bitbucket Server and Data Center ≥ 8.3.3

Bitbucket Server and Data Center ≥ 8.4.2

Bitbucket Server and Data Center ≥ 8.5.0



漏洞描述


Bitbucket Server and Data Center 是 Atlassian 提供的Git存储库管理解决方案。
Bitbucket Server and Data Center命令注入漏洞(CVE-2022-43781):Atlassian Bitbucket Server and Data Center存在命令注入漏洞,该漏洞允许具有控制用户名权限的攻击者利用环境变量进行命令注入,从而实现系统命令执行。(若Atlassian Bitbucket Server and Data Center使用PostgreSQL作为数据库,则不受该漏洞影响。)
细节是否公开 POC状态 EXP状态 在野利用
未公开 未公开
未发现






缓解措施


高危:目前漏洞细节和测试代码暂未公开,但恶意攻击者可以通过补丁对比分析出漏洞触发点,建议受影响用户及时更新至安全版本。


官方建议:

1、目前Atlassian官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。

下载链接:

https://www.atlassian.com/software/bitbucket/download-archives


临时缓解措施:

1、该漏洞是由于用户名变量引起,可通过关闭前台注册功能从而降低风险,但通过ADMIN或SYS_ADMIN身份验证的用户仍然可以利用该漏洞,建议受影响用户尽快升级到安全版本。


安恒信息CERT

2022年11月

原文始发于微信公众号(安恒信息CERT):Atlassian Bitbucket Server and Data Center命令注入漏洞风险提示

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月23日23:14:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Atlassian Bitbucket Server and Data Center命令注入漏洞风险提示 http://cn-sec.com/archives/1423540.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: