thehackernews网站披露,AtlassianBitbucket服务器和数据中心存在严重漏洞,可能允许攻击者执行恶意代码。Atlassian推出了漏洞修复方案。该安全漏洞被跟踪为CVE-2022-36804(CVSS评分:9.9),是一个多端点命令注入漏洞,潜在攻击者可以通过特制的HTTP请求加以利用。服务器多版本受漏洞影响据悉,CVE-2022-36804漏洞由网络安全研究员TheGrandPew发现。经详细分析,该漏洞主要影响BitbucketServer和Datacenter6.10.17之后发布的所有版本,7.0.0及之后的更高版本也受影响较大。受漏洞影响的服务器版本详情如下:BitbucketServer和DataCenter7.6;Bitbucket服务器和数据中心7.17;Bitbucket服务器和数据中心7.21;Bitbucket服务器和数据中心8.0;Bitbucket服务器和数据中心8.1;和数据中心版本8.2;Bitbucket服务器和数据中心版本8.3。在CVE-2022-36804漏洞爆发后不久,Atlassian在公告中表示,具有公共Bitbucket存储库访问权限或私有存储库读取权限的潜在攻击者可以发送恶意HTTP请求来执行任意代码。Atlassian建议用户尽快更新补丁。由于部分用户无法立即应用补丁,Atlassian提供了一个临时解决方案。用户可以使用“feature.public.access=false”关闭公共存储库,以防止未经授权的用户利用该漏洞。Atlassian强调,这种方法并不是完美的缓解措施。潜在的攻击者通过其他方式获得了有效凭证后仍然可以利用该漏洞,这意味着一些拥有用户账号的攻击者仍然可以成功利用该漏洞进行网络攻击。攻击活动。最后,Atlassian建议受漏洞影响的用户尽快升级至最新版本,以缓解潜在的安全威胁。参考文章:https://thehackernews.com/2022/08/critical-vulnerability-discovered-in.html
