风险等级:高危
漏洞类型:命令注入
漏洞利用:暂无
漏洞编号:
CVE-2022-36804
漏洞编号:
CVE-2022-36804
漏洞描述
近日,飓风安全应急团队监测到Atlassian发布安全公告,修复了一个存在于 Atlassian Bitbucket Server 和 Data Center 中的命令注入漏洞,Bitbucket Server 和 Data Center的多个API端点中存在命令注入漏洞,可在对公共或私有Bitbucket储存库具有读取权限的情况下,通过发送恶意的HTTP请求执行任意代码。
【受影响版本】
-
7.0.0 <= Atlassian Bitbucket Server 和 Data Center < 7.6.17
-
7.7.0 <= Atlassian Bitbucket Server 和 Data Center < 7.17.10
-
7.18.0 <= Atlassian Bitbucket Server 和 Data Center < 7.21.4
-
8.0.0 <= Atlassian Bitbucket Server 和 Data Center < 8.0.3
-
8.1.0 <= Atlassian Bitbucket Server 和 Data Center < 8.1.3
-
8.2.0 <= Atlassian Bitbucket Server 和 Data Center < 8.2.2
-
8.3.0 <= Atlassian Bitbucket Server 和 Data Center < 8.3.1
【安全版本】
-
Atlassian Bitbucket Server 和 Data Center >= 7.6.17(LTS)
-
Atlassian Bitbucket Server 和 Data Center >= 7.17.10(LTS)
-
Atlassian Bitbucket Server 和 Data Center >= 7.21.4(LTS)
-
Atlassian Bitbucket Server 和 Data Center >= 8.0.3
-
Atlassian Bitbucket Server 和 Data Center >= 8.1.3
-
Atlassian Bitbucket Server 和 Data Center >= 8.2.2
-
Atlassian Bitbucket Server 和 Data Center >= 8.3.1
Atlassian Bitbucket Server 和 Data Center 是 Atlassian 推出的一款现代化代码协作平台,支持代码审查、分支权限管理、CICD 等功能。
影响范围
7.0.0 <= Atlassian Bitbucket Server 和 Data Center < 7.6.17,7.7.0 <= Atlassian Bitbucket Server 和 Data Center < 7.17.10,7.18.0 <= Atlassian Bitbucket Server 和 Data Center < 7.21.4,8.0.0 <= Atlassian Bitbucket Server 和 Data Center < 8.0.3,8.1.0 <= Atlassian Bitbucket Server 和 Data Center < 8.1.3,8.2.0 <= Atlassian Bitbucket Server 和 Data Center < 8.2.2,8.3.0 <= Atlassian Bitbucket Server 和 Data Center < 8.3.1
解决方案
修复建议
临时修复建议:
如果目前无法升级,若业务环境允许,将 saml2.enabled 设置为 false 和禁用 SAML 2.0 插件并重新启动管理服务器或者使用白名单限制web端口的访问来降低风险。
通用修复建议:
官方已发布安全版本,请及时下载更新,下载地址:
https://www.atlassian.com/software/bitbucket/download-mesh-archives
原文始发于微信公众号(飓风网络安全):Atlassian Bitbucket Server 和 Data Center命令注入漏洞 (CVE-2022-36804)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论