當前位置: 首頁 新聞動态

    修複Atlassian Bitbucket服務器(qì)和(hé)數據中心中的(de)關鍵漏洞!(CVE-2022-36804)

    2022/8/30 10:01:32 人(rén)評論

    修複Atlassian Bitbucket服務器(qì)和(hé)數據中心中的(de)關鍵漏洞!(CVE-2022-36804

     未經授權的(de)攻擊者可以利用Atlassian Bitbucket服務器(qì)和(hé)數據中心中的(de)一個(gè)關鍵漏洞(CVE-2022-36804)在易受攻擊的(de)實例上(shàng)執行惡意代碼。

     

    關于CVE-2022-36804

    Bitbucket服務器(qì)和(hé)數據中心被世界各地(dì)的(de)軟件(jiàn)開(kāi)發人(rén)員(yuán)用于源代碼修訂控制、管理(lǐ)和(hé)托管。

    CVE-2022-36804Bitbucket服務器(qì)和(hé)數據中心的(de)多個(gè)API端點中的(de)命令注入漏洞。

    Atlassian解釋說(shuō):“具有(yǒu)公共存儲庫訪問(wèn)權限或私人(rén)Bitbucket存儲庫讀取權限的(de)攻擊者可以通(tōng)過發送惡意HTTP請求來(lái)執行任意代碼。”。攻擊者可以采取哪些後續操作(zuò)取決于與受攻擊應用程序關聯的(de)權限。

     在版本7.6.177.17.107.21.48.0.38.1.28.2.2和(hé)8.3.1之前發布的(de)所有(yǒu)Bitbucket服務器(qì)和(hé)數據中心版本都(dōu)有(yǒu)漏洞,但(dàn)Atlassian托管的(de)Bitbucket安裝不受影響。

     

    在攻擊者開(kāi)始攻擊之前修複該問(wèn)題

    建議(yì)用戶升級到其自(zì)托管安裝,以堵塞安全漏洞。

     該公司補充說(shuō):“如果您已經配置了Bitbucket網格節點,則需要将其更新為(wèi)包含修複的(de)相(xiàng)應版本的(de)網格。”。

     “如果無法升級Bitbucket,臨時(shí)緩解措施是通(tōng)過設置feature.public.access=false全局關閉公共存儲庫,因為(wèi)這(zhè)會将此攻擊向量從(cóng)未經授權的(de)攻擊更改為(wèi)授權的(de)攻擊。這(zhè)不能被視(shì)為(wèi)完全緩解,因為(wèi)具有(yǒu)用戶帳戶的(de)攻擊者仍然可能成功。”

     CVE-2022-36804AppSec審計(jì)員(yuán)Maxwell Garret(又(yòu)名TheGrandPew)報告,他(tā)最近(jìn)承諾在9月(yuè)底發布PoC

     當然,沒有(yǒu)什麽能阻止攻擊者對(duì)提供的(de)修複補丁進行反向工(gōng)程,以收集足夠的(de)信息來(lái)攻擊該漏洞,從(cóng)而創建有(yǒu)效的(de)攻擊,因此用戶應迅速采取行動阻止這(zhè)一攻擊途徑。

    返回列表

    相(xiàng)關新聞

    ×