Atlassian 修复Crowd 和 Bitbucket 产品中的严重漏洞

admin
admin
admin
101085
文章
87
评论
2022年11月22日03:18:45评论57 views字数 1253阅读4分10秒阅读模式

Atlassian 修复Crowd 和 Bitbucket 产品中的严重漏洞 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

澳大利亚软件公司 Atlassian 推出安全更新,修复了影响 Bitbucket Server、Data Center 和 Crowd 产品中的两个严重漏洞(CVE-2022-43781和CVE-2022-43782)。二者的CVSS评分均为9分。

CVE-2022-43781从Bitbucket Server 和Data Center 7.0.0版本中引入,影响7.0至7.21以及8.0至8.4版本(只有当 bitbucket.properties 中的 mesh.enabled 设为false 才成立)。

该漏洞是通过环境变量引发的命令注入漏洞,可导致具有权限的攻击者控制用户名,在受影响系统上执行代码。作为临时缓解措施,Atlassian 公司建议用户关闭“公开注册”选项。安全公告指出,“禁用公开注册将使攻击向量从未认证攻击更改为认证攻击,从而降低利用风险。经管理员或系统管理员认证的用户能够在禁用公开注册选项时利用该漏洞。”

第二个漏洞CVE-2022-43782和Crowd Server和Data Center 中的配置不当问题有关,可导致攻击者调用权限API端点,不过仅发生在从IP地址连接的恶意人员被添加到Remote Address 配置的场景下。

该漏洞在Crowd 3.0.0中引入,并在内部安全审计过程中发现,影响所有新程序,意味着升级到Crowd 3.0.0的用户不受影响。

Atlassian 和 Bitbucket 中的漏洞遭在野利用的情况并不少见,因此用户应尽快修复。

上个月,CISA提醒称,Bitbucket Server 和Data Center 中的命令注入漏洞(CVE-2022-36804,CVSS 9.9)自2022年9月末起就遭攻击。


代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com








推荐阅读

立即修复!Atlassian Bitbucket 服务器易受严重的 RCE漏洞影响
Atlassian 修复严重的Confluence 硬编码凭据漏洞
Atlassian 修复Jira 中的完全读取SSRF漏洞
【已复现】Atlassian Confluence Server and Data Center 远程代码执行漏洞安全风险通告
Atlassian 修复严重的 Jira 认证绕过漏洞



原文链接

https://thehackernews.com/2022/11/atlassian-releases-patches-for-critical.html


题图:Pexels License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




Atlassian 修复Crowd 和 Bitbucket 产品中的严重漏洞
Atlassian 修复Crowd 和 Bitbucket 产品中的严重漏洞

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   Atlassian 修复Crowd 和 Bitbucket 产品中的严重漏洞 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):Atlassian 修复Crowd 和 Bitbucket 产品中的严重漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月22日03:18:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Atlassian 修复Crowd 和 Bitbucket 产品中的严重漏洞https://cn-sec.com/archives/1421585.html

发表评论

匿名网友 填写信息