聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
澳大利亚软件公司 Atlassian 推出安全更新,修复了影响 Bitbucket Server、Data Center 和 Crowd 产品中的两个严重漏洞(CVE-2022-43781和CVE-2022-43782)。二者的CVSS评分均为9分。
CVE-2022-43781从Bitbucket Server 和Data Center 7.0.0版本中引入,影响7.0至7.21以及8.0至8.4版本(只有当 bitbucket.properties 中的 mesh.enabled 设为false 才成立)。
该漏洞是通过环境变量引发的命令注入漏洞,可导致具有权限的攻击者控制用户名,在受影响系统上执行代码。作为临时缓解措施,Atlassian 公司建议用户关闭“公开注册”选项。安全公告指出,“禁用公开注册将使攻击向量从未认证攻击更改为认证攻击,从而降低利用风险。经管理员或系统管理员认证的用户能够在禁用公开注册选项时利用该漏洞。”
第二个漏洞CVE-2022-43782和Crowd Server和Data Center 中的配置不当问题有关,可导致攻击者调用权限API端点,不过仅发生在从IP地址连接的恶意人员被添加到Remote Address 配置的场景下。
该漏洞在Crowd 3.0.0中引入,并在内部安全审计过程中发现,影响所有新程序,意味着升级到Crowd 3.0.0的用户不受影响。
Atlassian 和 Bitbucket 中的漏洞遭在野利用的情况并不少见,因此用户应尽快修复。
上个月,CISA提醒称,Bitbucket Server 和Data Center 中的命令注入漏洞(CVE-2022-36804,CVSS 9.9)自2022年9月末起就遭攻击。
https://thehackernews.com/2022/11/atlassian-releases-patches-for-critical.html
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):Atlassian 修复Crowd 和 Bitbucket 产品中的严重漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论