最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

Atlassian Bitbucket Server易受关键 RCE 漏洞的攻击

网络安全 快米云 来源:快米云 78浏览

Atlassian 已发布安全公告,警告 Bitbucket 服务器和数据中心用户存在一个严重的安全漏洞,攻击者可以利用该漏洞在易受攻击的实例上执行任意代码。

Bitbucket 是一个基于 Git 的代码托管、管理和协作工具,集成了 Jira 和 Trello。

最新的漏洞被跟踪为 CVE-2022-36804 ,是软件产品的多个 API 端点中的命令注入。它的 CVSS 严重性评分为 9.9 (满分为 10.0),这使其成为应立即修补的严重漏洞。

“有权访问 公共 存储库或对私有 Bitbucket 存储库具有读取权限的攻击者可以通过发送恶意 HTTP 请求来执行任意代码,” Atlassian 的咨询解释说。

该漏洞影响 6.10.17 之后的所有 Bitbucket Server 和 Data Center 版本,包括 7.0.0 和最高 8.3.0。

解决该问题的版本是 7.6.17、7.17.10、7.21.4、8.0.3、8.1.3、8.2.2 和 8.3.1。不幸的是,6.x 分支的旧版本和不受支持的版本将不会收到针对此缺陷的修复。

固定版本表 (Atlassian)
建议那些无法应用安全更新的人通过使用“feature.public.access=false”关闭公共存储库来应用临时部分缓解措施。

这样,未经授权的用户将无法访问实例;但是,授权用户(例如已泄露有效凭据的威胁参与者)仍可能执行攻击。

Atlassian 指出,那些通过 bitbucket.org 域访问 Bitbucket 的人不受关键 RCE 的影响,因为供应商托管了这些实例。

PoC 正在路上
早在 2022 年 7 月发现 CVE-2022-36804 的安全研究人员Max Garrett通过该公司在 Bugcrowd 上的漏洞赏金计划向 Atlassian 报告了该问题,并因发现而获得了 6,000 美元。

昨天,这位年轻的研究人员在 Twitter 上承诺,将在 30 天内发布针对该漏洞的概念验证 (PoC) 漏洞利用,让系统管理员有足够的时间来应用可用的修复程序。

PoC 的发布势必会导致黑客对关键 RCE 漏洞的积极利用激增,但不能保证这不会很快发生。

Garrett 告诉ZZQIDC,逆向工程 Atlassian 的补丁对于熟练的黑客来说应该不会太难。

远程代码执行是所有漏洞类型中最有效的,它使攻击者能够在绕过所有安全措施的同时造成广泛的破坏,因此动机就在那里。

也就是说,建议 Bitbucket 服务器和数据中心用户尽快应用可用的安全更新或缓解措施。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Atlassian Bitbucket Server易受关键 RCE 漏洞的攻击