修複Atlassian Bitbucket服務器和數據中心中的關鍵漏洞!(CVE-2022-36804)

    2022/8/30 10:01:32 人評論

    修複Atlassian Bitbucket服務器和數據中心中的關鍵漏洞!(CVE-2022-36804

     未經(jīng)授權的攻擊者可以利用Atlassian Bitbucket服務器和數據中心中的一個關鍵漏洞(CVE-2022-36804)在易受攻擊的實例上執行惡意代碼。

     

    關于CVE-2022-36804

    Bitbucket服務器和數據中心被(bèi)世界各地的軟件開(kāi)發(fā)人員用于源代碼修訂控制、管理和托管。

    CVE-2022-36804Bitbucket服務器和數據中心的多個API端點中的命令注入漏洞。

    Atlassian解釋說:“具有公共存儲庫訪問權限或私人Bitbucket存儲庫讀取權限的攻擊者可以通過(guò)發(fā)送惡意HTTP請求來執行任意代碼。”。攻擊者可以采取哪些後(hòu)續操作取決于與受攻擊應用程序關聯的權限。

     在版本7.6.177.17.107.21.48.0.38.1.28.2.28.3.1之前發(fā)布的所有Bitbucket服務器和數據中心版本都(dōu)有漏洞,但Atlassian托管的Bitbucket安裝不受影響。

     

    在攻擊者開(kāi)始攻擊之前修複該問題

    建議用戶升級到其自托管安裝,以堵塞安全漏洞。

     該公司補充說:“如果您已經(jīng)配置了Bitbucket網格節點,則需要將(jiāng)其更新爲包含修複的相應版本的網格。”。

     “如果無法升級Bitbucket,臨時緩解措施是通過(guò)設置feature.public.access=false全局關閉公共存儲庫,因爲這(zhè)會(huì)將(jiāng)此攻擊向(xiàng)量從未經(jīng)授權的攻擊更改爲授權的攻擊。這(zhè)不能(néng)被(bèi)視爲完全緩解,因爲具有用戶帳戶的攻擊者仍然可能(néng)成(chéng)功。”

     CVE-2022-36804AppSec審計員Maxwell Garret(又名TheGrandPew)報告,他最近承諾在9月底發(fā)布PoC

     當然,沒(méi)有什麼(me)能(néng)阻止攻擊者對(duì)提供的修複補丁進(jìn)行反向(xiàng)工程,以收集足夠的信息來攻擊該漏洞,從而創建有效的攻擊,因此用戶應迅速采取行動阻止這(zhè)一攻擊途徑。

    ×