01
漏洞描述
Atlassian公司是一个澳大利亚的企业软件公司。其主要针对软件开发工程师和项目经理设计企业软件,帮助开发者设计和发布伟大的软件。其中用作项目管理的JIRA Software和团队协同的Confluence最为著名,目前已有包括花旗银行,eBay,Netflix,美国航空航天局,可口可乐和美国联合航空等7.5万多个公司使用Atlassian的产品进行高效工作。Atlassian 的产品已经覆盖了软件开发、IT 服务、销售营销等多个领域,提供从研发管理到通用协作管理的全流程服务。产品较为完善,覆盖各类型团队及协作各环节。
近期,Atlassian官方发布消息,Atlassian Bitbucket Data Center存在代码执行漏洞。攻击者可利用 Hazelcast 接口功能对用户数据过滤不足的问题,通过在 AtlassianBitbucket Data Center 以 Cluster 模式安装时发送恶意制作的数据,从而执行任意代码。
02
漏洞危害
通过发送恶意代码,对目标执行各种操作,包括执行恶意软件、数据泄露。获取企业敏感信息,继承Web服务器权限,读写文件。甚至控制整个网站甚至服务器。
03
影响范围
Atlassian Bitbucket Data Center >=5.14.x
Atlassian Bitbucket Data Center 6.x
Atlassian Bitbucket Data Center < 7.6.14
Atlassian Bitbucket Data Center < 7.17.6
Atlassian Bitbucket Data Center < 7.18.4
Atlassian Bitbucket Data Center < 7.19.4
Atlassian Bitbucket Data Center 7.20.0
Atlassian Bitbucket Data Center 7.16.x
04
漏洞等级
高危
06
修复方案
厂商已发布升级修复漏洞,用户请尽快更新至安全版本。
引用:
https://www.atlassian.com/software/bitbucket/download-archives
END
长按识别二维码,了解更多
原文始发于微信公众号(易东安全研究院):【漏洞预警】Atlassian Bitbucket Data Center 代码执行漏洞(CVE-2022-26133)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论