2022/8/30 10:01:32 人评论次

修复Atlassian Bitbucket服务器和数据中心中的关键漏洞！（CVE-2022-36804）

未经授权的攻击者可以利用Atlassian Bitbucket服务器和数据中心中的一个关键漏洞（CVE-2022-36804）在易受攻击的实例上执行恶意代码。

关于CVE-2022-36804

Bitbucket服务器和数据中心被世界各地的软件开发人员用于源代码修订控制、管理和托管。

CVE-2022-36804是Bitbucket服务器和数据中心的多个API端点中的命令注入漏洞。

Atlassian解释说：“具有公共存储库访问权限或私人Bitbucket存储库读取权限的攻击者可以顺利获得发送恶意HTTP请求来执行任意代码。”。攻击者可以采取哪些后续操作取决于与受攻击应用程序关联的权限。

在版本7.6.17、7.17.10、7.21.4、8.0.3、8.1.2、8.2.2和8.3.1之前发布的所有Bitbucket服务器和数据中心版本都有漏洞，但Atlassian托管的Bitbucket安装不受影响。

在攻击者开始攻击之前修复该问题

建议用户升级到其自托管安装，以堵塞安全漏洞。

该公司补充说：“如果您已经配置了Bitbucket网格节点，则需要将其更新为包含修复的相应版本的网格。”。

“如果无法升级Bitbucket，临时缓解措施是顺利获得设置feature.public.access=false全局关闭公共存储库，因为这会将此攻击向量从未经授权的攻击更改为授权的攻击。这不能被视为完全缓解，因为具有用户帐户的攻击者仍然可能成功。”

CVE-2022-36804由AppSec审计员Maxwell Garret（又名TheGrandPew）报告，他最近承诺在9月底发布PoC。

当然，没有什么能阻止攻击者对给予的修复补丁进行反向工程，以收集足够的信息来攻击该漏洞，从而创建有效的攻击，因此用户应迅速采取行动阻止这一攻击途径。

网安在线

网安在线科技