Bitbucket Server曝RCE 漏洞,在野利用可执行任意代码

阅读量46490

发布时间 : 2022-08-30 10:15:21

Atlassian 发布安全公告,警告Bitbucket服务器和数据中心用户存在一个严重安全漏洞,攻击者可以利用该漏洞在易受攻击的实例上执行任意代码。

Bitbucket是一个基于Git的代码托管、管理和协作工具,集成了Jira和Trello。最新的漏洞被跟踪为CVE-2022-36804,是软件产品的多个API 端点中的命令注入。它的 CVSS 严重性评分为 9.9(满分为 10.0),也就是说这是一个应立即修补的严重漏洞。

Atlassian安全专家称,“利用该漏洞可有权访问公共存储库或对私有 Bitbucket 存储库具有读取权限的攻击者可以通过发送恶意 HTTP 请求来执行任意代码。”

据悉,该漏洞影响 6.10.17 之后的所有 Bitbucket Server 和 Data Center 版本,包括 7.0.0 和最高 8.3.0。如果是无法进行应用安全更新的用户,可通过使用“feature.public.access=false”关闭公共存储库来应用临时部分缓解措施。[阅读原文]

本文由安全客原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/279018

安全客 - 有思想的安全新媒体

分享到:微信
+11赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66