研究人员警告说,Bitbucket产品中的一个关键命令注入漏洞可能允许攻击者执行任意代码。Bitbucket是Atlassian拥有的基于Git的源代码存储库托管服务。
CVE-2022-36804 Bitbucket Server和Data Center的多个API端点中的命令注入漏洞。此漏洞可能允许对公共或私有 Bitbucket 储库具有读取权限的远程攻击者通过发送恶意HTTP请求来执行任意代码。
它是由研究人员“The Grand Pew”发现的,他通过Bugcrowd的漏洞赏金计划报告了它。
6.10.17之后发布的所有服务器和数据中心版本都会受到影响,这意味着运行7.0.0和8.3.0(含)之间任何版本的所有实例都容易受到攻击。
敦促用户更新到最新版本。对于那些不能的人,Bitbucket提供了一种解决方法。
一篇博客文章写道:“一个临时的缓解步骤是通过设置feature.public.access=false来全局关闭公共存储库,因为这会将攻击向量从未经授权的攻击更改为授权攻击。”
评论已关闭。