Atlassian 解决了 BitBucket Server 和 Data Center 的关键漏洞
Atlassian 修复了严重的 Bitbucket 服务器和数据中心漏洞
关键要点
Atlassian 已修补的 CVE202236804 漏洞允许任意代码执行。影响所有 61017 及更高版本的 Bitbucket 服务器和数据中心。攻击者可利用特制的 HTTP 请求进行命令注入。Atlassian 建议用户及时升级系统,或暂时禁用公共仓库以减轻风险。Atlassian 最近修复了一个重大的 Bitbucket 服务器和数据中心漏洞,编号为 CVE202236804。根据 The Hacker News 的报道,该漏洞可能被恶意利用来触发任意代码执行。该缺陷使得攻击者能够通过特别构造的 HTTP 请求来利用命令注入漏洞,影响所有版本为 61017 及以上的 Bitbucket 服务器和数据中心,并波及多个端点。
Atlassian 表示:“如果攻击者能够访问公共 Bitbucket 仓库,或者对私有仓库拥有读取权限,他们可以通过发送恶意 HTTP 请求来执行任意代码。” 因此,Atlassian 强烈建议 vulnerable software 的用户及时升级他们的系统。
对于那些无法立即应用补丁的组织,Atlassian 建议通过设置 featurepublicaccess=false 来临时禁用公共仓库,以防止该漏洞被利用。然而,Atlassian 也指出:“这不能算作完全缓解,因为具有用户账户的攻击者仍然可能成功攻击。” 这表明,系统在面对拥有有效凭据的用户时仍然存在入侵的风险。
相关链接
Atlassian 漏洞管理最新动态漏洞影响表
版本危险程度建议措施61017 及以上高尽快升级系统公共仓库中设置 featurepublicaccess=false确保您的系统安全,并采取必要措施修复这些漏洞。
一元机场地址