漏洞名称:
Atlassian Bitbucket 命令注入漏洞
组件名称:
1.Atlassian Bitbucket Server
2.Atlassian Bitbucket Data Center
影响范围:
7.0.0 ≤ Atlassian Bitbucket Server ≤ 8.3.0
7.0.0 ≤ Atlassian Bitbucket Data Center ≤ 8.3.0
漏洞类型:
命令注入
利用条件:
1、用户认证:需要用户认证
2、前置条件:默认配置
3、触发方式:远程
综合评价:
<综合评定利用难度>:未知。
<综合评定威胁等级>:严重,能造成远程代码执行。
漏洞分析
组件介绍
Atlassian Bitbucket Server 和 Atlassian Bitbucket Data Center 都是澳大利亚 Atlassian 公司的产品。
Atlassian Bitbucket Server是一款 Git 代码托管解决方案。该方案能够管理并审查代码,具有差异视图、JIRA 集成和构建集成等功能。
Atlassian Bitbucket Data Center 是 Atlassian Bitbucket 的数据中心版本。
漏洞简介
近日,深信服安全团队监测到一则 Atlassian Bitbucket Server 和 Atlassian Bitbucket Data Center 组件存在命令注入漏洞的信息,漏洞编号:CVE-2022-36804,漏洞威胁等级:严重。
攻击者在有权访问公共 Bitbucket 存储库或对私有存储库具有读取权限的情况下,可以通过发送恶意 HTTP 请求来执行任意代码,最终获取服务器权限。
影响范围
目前受影响的版本:
7.0.0 ≤ Atlassian Bitbucket Server ≤ 8.3.0
7.0.0 ≤ Atlassian Bitbucket Data Center ≤ 8.3.0
解决方案
1.如何检测组件版本
访问登陆页面,即可查看当前版本号。
2.官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://confluence.atlassian.com/bitbucketserver/bitbucket-server-and-data-center-advisory-2022-08-24-1155489835.html
参考链接
https://jira.atlassian.com/browse/BSERV-13438
时间轴
2022/8/29
深信服监测到 Atlassian 官方发布安全补丁。
2022/8/29
深信服千里目安全技术中心发布漏洞通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
原文始发于微信公众号(深信服千里目安全实验室):【漏洞通告】Atlassian Bitbucket命令注入漏洞CVE-2022-36804
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论