【漏洞通告】Atlassian Bitbucket命令注入漏洞CVE-2022-36804

深信服千里目安全实验室 · 公众号 · · 2022-08-29 22:26

正文

漏洞名称：

Atlassian Bitbucket 命令注入漏洞

组件名称：

1.Atlassian Bitbucket Server

2.Atlassian Bitbucket Data Center

影响范围：

7.0.0 ≤ Atlassian Bitbucket Server ≤ 8.3.0

7.0.0 ≤ Atlassian Bitbucket Data Center ≤ 8.3.0

漏洞类型：

命令注入

利用条件：

1、用户认证：需要用户认证

2、前置条件：默认配置

3、触发方式：远程

综合评价：

：未知。

：严重，能造成远程代码执行。

漏洞分析

组件介绍

Atlassian Bitbucket Server 和 Atlassian Bitbucket Data Center 都是澳大利亚 Atlassian 公司的产品。

Atlassian Bitbucket Server是一款 Git 代码托管解决方案。该方案能够管理并审查代码，具有差异视图、JIRA 集成和构建集成等功能。

Atlassian Bitbucket Data Center 是 Atlassian Bitbucket 的数据中心版本。

漏洞简介

近日，深信服安全团队监测到一则 Atlassian Bitbucket Server 和 Atlassian Bitbucket Data Center 组件存在命令注入漏洞的信息，漏洞编号：CVE-2022-36804，漏洞威胁等级：严重。

攻击者在有权访问公共 Bitbucket 存储库或对私有存储库具有读取权限的情况下，可以通过发送恶意 HTTP 请求来执行任意代码，最终获取服务器权限。

影响范围

目前受影响的版本：

7.0.0 ≤ Atlassian Bitbucket Server ≤ 8.3.0

7.0.0 ≤ Atlassian Bitbucket Data Center ≤ 8.3.0

解决方案

1.如何检测组件版本

访问登陆页面，即可查看当前版本号。

2.官方修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://confluence.atlassian.com/bitbucketserver/bitbucket-server-and-data-center-advisory-2022-08-24-1155489835.html

参考链接

https://jira.atlassian.com/browse/BSERV-13438