修复Atlassian Bitbucket服務(wù)器和数据中心中的关键漏洞!(CVE-2022-36804)

    2022/8/30 10:01:32 人评论

    修复Atlassian Bitbucket服務(wù)器和数据中心中的关键漏洞!(CVE-2022-36804

     未经授权的攻击者可(kě)以利用(yòng)Atlassian Bitbucket服務(wù)器和数据中心中的一个关键漏洞(CVE-2022-36804)在易受攻击的实例上执行恶意代码。

     

    关于CVE-2022-36804

    Bitbucket服務(wù)器和数据中心被世界各地的软件开发人员用(yòng)于源代码修订控制、管理(lǐ)和托管。

    CVE-2022-36804Bitbucket服務(wù)器和数据中心的多(duō)个API端点中的命令注入漏洞。

    Atlassian解释说:“具有(yǒu)公共存储库访问权限或私人Bitbucket存储库读取权限的攻击者可(kě)以通过发送恶意HTTP请求来执行任意代码。”。攻击者可(kě)以采取哪些后续操作取决于与受攻击应用(yòng)程序关联的权限。

     在版本7.6.177.17.107.21.48.0.38.1.28.2.28.3.1之前发布的所有(yǒu)Bitbucket服務(wù)器和数据中心版本都有(yǒu)漏洞,但Atlassian托管的Bitbucket安装不受影响。

     

    在攻击者开始攻击之前修复该问题

    建议用(yòng)户升级到其自托管安装,以堵塞安全漏洞。

     该公司补充说:“如果您已经配置了Bitbucket网格节点,则需要将其更新(xīn)為(wèi)包含修复的相应版本的网格。”。

     “如果无法升级Bitbucket,临时缓解措施是通过设置feature.public.access=false全局关闭公共存储库,因為(wèi)这会将此攻击向量从未经授权的攻击更改為(wèi)授权的攻击。这不能(néng)被视為(wèi)完全缓解,因為(wèi)具有(yǒu)用(yòng)户帐户的攻击者仍然可(kě)能(néng)成功。”

     CVE-2022-36804AppSec审计员Maxwell Garret(又(yòu)名TheGrandPew)报告,他(tā)最近承诺在9月底发布PoC

     当然,没有(yǒu)什么能(néng)阻止攻击者对提供的修复补丁进行反向工程,以收集足够的信息来攻击该漏洞,从而创建有(yǒu)效的攻击,因此用(yòng)户应迅速采取行动阻止这一攻击途径。

    ×