修複Atlassian Bitbucket服務(wù)器和數據中(zhōng)心中(zhōng)的關鍵漏洞!(CVE-2022-36804)
修複Atlassian Bitbucket服務(wù)器和數據中(zhōng)心中(zhōng)的關鍵漏洞!(CVE-2022-36804)
未經授權的攻擊者可(kě)以利用(yòng)Atlassian Bitbucket服務(wù)器和數據中(zhōng)心中(zhōng)的一個關鍵漏洞(CVE-2022-36804)在易受攻擊的實例上執行惡意代碼。
關于CVE-2022-36804
Bitbucket服務(wù)器和數據中(zhōng)心被世界各地的軟件開發人員用(yòng)于源代碼修訂控制、管理(lǐ)和托管。
CVE-2022-36804是Bitbucket服務(wù)器和數據中(zhōng)心的多(duō)個API端點中(zhōng)的命令注入漏洞。
Atlassian解釋說:“具(jù)有(yǒu)公(gōng)共存儲庫訪問權限或私人Bitbucket存儲庫讀取權限的攻擊者可(kě)以通過發送惡意HTTP請求來執行任意代碼。”。攻擊者可(kě)以采取哪些後續操作(zuò)取決于與受攻擊應用(yòng)程序關聯的權限。
在版本7.6.17、7.17.10、7.21.4、8.0.3、8.1.2、8.2.2和8.3.1之前發布的所有(yǒu)Bitbucket服務(wù)器和數據中(zhōng)心版本都有(yǒu)漏洞,但Atlassian托管的Bitbucket安(ān)裝(zhuāng)不受影響。
在攻擊者開始攻擊之前修複該問題
建議用(yòng)戶升級到其自托管安(ān)裝(zhuāng),以堵塞安(ān)全漏洞。
該公(gōng)司補充說:“如果您已經配置了Bitbucket網格節點,則需要将其更新(xīn)為(wèi)包含修複的相應版本的網格。”。
“如果無法升級Bitbucket,臨時緩解措施是通過設置feature.public.access=false全局關閉公(gōng)共存儲庫,因為(wèi)這會将此攻擊向量從未經授權的攻擊更改為(wèi)授權的攻擊。這不能(néng)被視為(wèi)完全緩解,因為(wèi)具(jù)有(yǒu)用(yòng)戶帳戶的攻擊者仍然可(kě)能(néng)成功。”
CVE-2022-36804由AppSec審計員Maxwell Garret(又(yòu)名(míng)TheGrandPew)報告,他(tā)最近承諾在9月底發布PoC。
當然,沒有(yǒu)什麽能(néng)阻止攻擊者對提供的修複補丁進行反向工(gōng)程,以收集足夠的信息來攻擊該漏洞,從而創建有(yǒu)效的攻擊,因此用(yòng)戶應迅速采取行動阻止這一攻擊途徑。
相關新(xīn)聞
-
>數以千計的 QNAP NAS 設備被DeadBolt勒索軟件攻擊 (CVE-2022-27593)
-
>IPguard發布新(xīn)版本4.51.113.0
-
>什麽是數據工(gōng)程師?
-
>IPguard發布新(xīn)版本4.61.123.0
-
>祝賀我司續簽IPguard鑽石代理(lǐ)(最高級)
-
>IPguard發布新(xīn)版本4.54.818.0
-
>GitLab的Critical RCE bug已修補,請盡快更新(xīn)!(CVE-2022-2884)
-
>屏幕水印技(jì )術有(yǒu)哪些表現形态
-
>IPguard發布新(xīn)版本4.53.613.0
-
>修複Atlassian Bitbucket服務(wù)器和數據中(zhōng)心中(zhōng)的關鍵漏洞!(CVE-2022-36804)
