0x01 Atlassian Bitbucket Data Center
Atlassian Bitbucket Data Center 是 Atlassian 推出的一款现代化代码协作平台,支持代码审查、分支权限管理、CICD 等功能。
0x02 漏洞描述
2022年8月24日,Atlassian发布安全公告,修复了一个存在于 Atlassian Bitbucket Data Center和Bitbucket Server中的命令注入漏洞,漏洞编号:CVE-2022-36804,漏洞威胁等级:严重,漏洞评分:9.9。
Bitbucket Server和Bitbucket Data Center的多个API端点中存在命令注入漏洞,可在对公共或私有Bitbucket储存库具有读取权限的情况下,通过发送恶意的HTTP请求执行任意代码。
受影响版本:
Bitbucket Server和Bitbucket Data Center - Atlassian
=7.6
=7.17
=7.21
=8.0
=8.1
=8.2
=8.3
0x03 漏洞信息
漏洞编号:CVE-2022-36804
漏洞POC:暂无
漏洞EXP:暂无
漏洞危害:严重 命令注入
0x04 解决方案
正式防护方案:
厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:
7.6.17 ( LTS ) 或更高版本
7.17.10 ( LTS ) 或更高版本
7.21.4 ( LTS ) 或更高版本
8.0.3 或更高版本
8.1.3或更高版本
8.2.2或更高版本
8.3.1或更高版本
与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
原文始发于微信公众号(寻云安全团队):【漏洞报送】Atlassian Bitbucket命令注入漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论