The hacker news 網(wǎng)站披露，Atlassian Bitbucket 服務(wù)器和數(shù)據(jù)中心出現(xiàn)嚴(yán)重漏洞，該漏洞可能允許攻擊者執(zhí)行惡意代碼，Atlassian 目前已經(jīng)推出了漏洞修復(fù)方案。

安全漏洞被追蹤為 CVE-2022-36804（CVSS 評(píng)分：9.9），是一個(gè)多端點(diǎn)的命令注入漏洞，潛在攻擊者可通過特制的 HTTP 請(qǐng)求加以利用。

服務(wù)器多個(gè)版本受到漏洞影響

據(jù)悉，CVE-2022-36804 漏洞由網(wǎng)絡(luò)安全研究員 TheGrandPew 發(fā)現(xiàn)，經(jīng)過詳細(xì)分析，這一漏洞主要影響了 6.10.17 之后發(fā)布的所有版本 Bitbucket Server 和 Datacenter，7.0.0 和更高版本也受到嚴(yán)重影響。

受漏洞影響的服務(wù)器版本詳情如下：

• Bitbucket 服務(wù)器和數(shù)據(jù)中心7.6；
• Bitbucket服務(wù)器和數(shù)據(jù)中心7.17版；
• Bitbucket服務(wù)器和數(shù)據(jù)中心7.21版；
• Bitbucket服務(wù)器和數(shù)據(jù)中心 8.0版；
• Bitbucket服務(wù)器和數(shù)據(jù)中心 8.1版；
• Bitbucket服務(wù)器和數(shù)據(jù)中心 8.2版；
• Bitbucket服務(wù)器和數(shù)據(jù)中心 8.3版。

CVE-2022-36804 漏洞爆出不久后，Atlassian 在一份公告中表示，潛在攻擊者在擁有公共 Bitbucket 存儲(chǔ)庫訪問權(quán)或私有存儲(chǔ)庫讀取權(quán)限的情況下，可以通過發(fā)送惡意的 HTTP 請(qǐng)求來執(zhí)行任意代碼。

Atlassian 建議用戶應(yīng)盡快更新補(bǔ)丁

鑒于部分用戶無法立即應(yīng)用補(bǔ)丁，Atlassian提供了臨時(shí)解決辦法。用戶可以使用 “feature.public.access=false ”關(guān)閉公共存儲(chǔ)庫，以防止未經(jīng)授權(quán)的用戶利用該漏洞。

Atlassian 強(qiáng)調(diào)，這種方式并不是一個(gè)完美的緩解措施，已經(jīng)通過其他方式獲取了有效憑據(jù)的潛在攻擊者依然可以利用漏洞，這意味著部分擁有用戶賬戶的攻擊者仍然可以成功利用該漏洞，進(jìn)行網(wǎng)絡(luò)攻擊活動(dòng)。

最后，Atlassian 建議受漏洞影響的用戶盡快升級(jí)到最新版本，以減輕潛在的安全威脅。

參考文章：https://thehackernews.com/2022/08/critical-vulnerability-discovered-in.html