修复Atlassian Bitbucket服務(wù)器和数据中心中的关键漏洞!(CVE-2022-36804)
未经授权的攻击者可(kě)以利用(yòng)Atlassian Bitbucket服務(wù)器和数据中心中的一个关键漏洞(CVE-2022-36804)在易受攻击的实例上执行恶意代码。
关于CVE-2022-36804
Bitbucket服務(wù)器和数据中心被世界各地的软件开发人员用(yòng)于源代码修订控制、管理(lǐ)和托管。
CVE-2022-36804是Bitbucket服務(wù)器和数据中心的多(duō)个API端点中的命令注入漏洞。
Atlassian解释说:“具有(yǒu)公共存储库访问权限或私人Bitbucket存储库读取权限的攻击者可(kě)以通过发送恶意HTTP请求来执行任意代码。”。攻击者可(kě)以采取哪些后续操作取决于与受攻击应用(yòng)程序关联的权限。
在版本7.6.17、7.17.10、7.21.4、8.0.3、8.1.2、8.2.2和8.3.1之前发布的所有(yǒu)Bitbucket服務(wù)器和数据中心版本都有(yǒu)漏洞,但Atlassian托管的Bitbucket安装不受影响。
在攻击者开始攻击之前修复该问题
建议用(yòng)户升级到其自托管安装,以堵塞安全漏洞。
该公司补充说:“如果您已经配置了Bitbucket网格节点,则需要将其更新(xīn)為(wèi)包含修复的相应版本的网格。”。
“如果无法升级Bitbucket,临时缓解措施是通过设置feature.public.access=false全局关闭公共存储库,因為(wèi)这会将此攻击向量从未经授权的攻击更改為(wèi)授权的攻击。这不能(néng)被视為(wèi)完全缓解,因為(wèi)具有(yǒu)用(yòng)户帐户的攻击者仍然可(kě)能(néng)成功。”
CVE-2022-36804由AppSec审计员Maxwell Garret(又(yòu)名TheGrandPew)报告,他(tā)最近承诺在9月底发布PoC。
当然,没有(yǒu)什么能(néng)阻止攻击者对提供的修复补丁进行反向工程,以收集足够的信息来攻击该漏洞,从而创建有(yǒu)效的攻击,因此用(yòng)户应迅速采取行动阻止这一攻击途径。