尊敬的用戶，您好！

互聯(lián)網(wǎng)安全運營中心監(jiān)測到， Atlassian官方發(fā)布安全通告，披露了其Bitbucket產(chǎn)品存在命令注入漏洞，漏洞編號CVE-2022-36804?？蓪?dǎo)致遠程執(zhí)行任意命令等危害。

為避免您的業(yè)務(wù)受影響，棉花云安全建議您及時開展安全自查，如在受影響范圍，請您及時進行更新修復(fù)，避免被外部攻擊者入侵。

漏洞詳情

Bitbucket是Atlassian公司提供的一個基于web的版本庫托管服務(wù)，支持Mercurial和Git版本控制系統(tǒng)。

據(jù)描述，在Bitbucket Server和Bitbucket Data Center的多個API中存在命令注入漏洞，當(dāng)攻擊者擁有公共倉庫的訪問權(quán)限，或私有倉庫的讀取權(quán)限時，可通過發(fā)送惡意請求執(zhí)行任意代碼。

風(fēng)險等級

高風(fēng)險

漏洞風(fēng)險

攻擊者利用該漏洞可導(dǎo)致遠程執(zhí)行任意命令

影響版本

Bitbucket Server and Data Center 7.6 < 7.6.17 (LTS)

Bitbucket Server and Data Center 7.17 < 7.17.10 (LTS)

Bitbucket Server and Data Center 7.21 < 7.21.4 (LTS)

Bitbucket Server and Data Center 8.0 < 8.0.3

Bitbucket Server and Data Center 8.1 < 8.1.3

Bitbucket Server and Data Center 8.2 < 8.2.2

Bitbucket Server and Data Center 8.3 < 8.3.1

安全版本

Bitbucket Server and Data Center 7.6 >= 7.6.17 (LTS)

Bitbucket Server and Data Center 7.17 >= 7.17.10 (LTS)

Bitbucket Server and Data Center 7.21 >= 7.21.4 (LTS)

Bitbucket Server and Data Center 8.0 >= 8.0.3

Bitbucket Server and Data Center 8.1 >= 8.1.3

Bitbucket Server and Data Center 8.2 >= 8.2.2

Bitbucket Server and Data Center 8.3 >= 8.3.1

修復(fù)建議

官方已發(fā)布漏洞補丁及修復(fù)版本，請評估業(yè)務(wù)是否受影響后，酌情升級至安全版本

【備注】：建議您在升級前做好數(shù)據(jù)備份工作，避免出現(xiàn)意外

漏洞參考

https://jira.atlassian.com/browse/BSERV-13438 

https://confluence.atlassian.com/bitbucketserver/bitbucket-server-and-data-center-advisory-2022-08-24-1155489835.html 

棉花云