Atlassian Bitbucket Server和数据中心的多个API端点中存在一个严重的命令注入漏洞,使得未经授权的攻击者能够远程执行恶意软件,并查看、更改甚至删除存储在存储库中的数据。
Atlassian修复了7.0.0到8.3.0软件版本中的安全漏洞,包括。幸运的是,在野外没有已知的利用。
但考虑到这个漏洞,它被跟踪为CVE-2022-36804,并在严重性方面获得了9.9分(满分10分)。
(资料图片)
正如Atlassian在上周发布的安全公告中解释的那样:“对公共存储库拥有访问权限或对私有Bitbucket存储库拥有读取权限的攻击者可以通过发送恶意HTTP请求来执行任意代码。”
此外,互联网安全中心已将该漏洞标记为各种规模的企业和相关部门实体的“高”安全风险。这些机构通常使用Bitbucket来管理Git存储库中的源代码。
Atlassian建议组织将其实例升级到固定版本,那些配置了Bitbucket Mesh节点的组织也需要更新这些实例。有一个兼容性矩阵可以帮助用户找到与Bitbucket数据中心版本兼容的Mesh版本。
如果需要延迟Bitbucket的更新,Atlassian建议关闭全球范围内的公共存储库作为临时缓解措施。这将使攻击媒介从未经授权的攻击变为经授权的攻击。不过,根据公告,“这不能算是彻底的解脱,因为拥有用户账号的攻击者仍然可以成功”。
安全研究员@TheGrandPew通过Atlassian的漏洞赏金计划发现并报告了该漏洞。
这个最新的错误发生在这个流行的企业协作软件制造商的一系列流行产品之后。
上个月,Atlassian警告其Bamboo、Bitbucket、Confluence、Fisheye、Crucible和吉拉产品的用户,一对有多年历史的严重缺陷威胁到他们的安全。它在7月的安全更新中详细介绍了所谓的Servlet Filter scheduler漏洞,并表示该漏洞允许远程未经验证的攻击者绕过第三方应用程序使用的验证。
6月,Atlassian在Confluence中发现了另一个被主动攻击的严重缺陷。