修複Atlassian Bitbucket服務器和數據中(zhōng)心中(zhōng)的關鍵漏洞!(CVE-2022-36804)
未經授權的攻擊者可以利用Atlassian Bitbucket服務器和數據中(zhōng)心中(zhōng)的一(yī)個關鍵漏洞(CVE-2022-36804)在易受攻擊的實例上執行惡意代碼。
關于CVE-2022-36804
Bitbucket服務器和數據中(zhōng)心被世界各地的軟件開(kāi)發人員(yuán)用于源代碼修訂控制、管理和托管。
CVE-2022-36804是Bitbucket服務器和數據中(zhōng)心的多個API端點中(zhōng)的命令注入漏洞。
Atlassian解釋說:“具有公共存儲庫訪問權限或私人Bitbucket存儲庫讀取權限的攻擊者可以通過發送惡意HTTP請求來執行任意代碼。”。攻擊者可以采取哪些後續操作取決于與受攻擊應用程序關聯的權限。
在版本7.6.17、7.17.10、7.21.4、8.0.3、8.1.2、8.2.2和8.3.1之前發布的所有Bitbucket服務器和數據中(zhōng)心版本都有漏洞,但Atlassian托管的Bitbucket安裝不受影響。
在攻擊者開(kāi)始攻擊之前修複該問題
該公司補充說:“如果您已經配置了Bitbucket網格節點,則需要将其更新爲包含修複的相應版本的網格。”。
“如果無法升級Bitbucket,臨時緩解措施是通過設置feature.public.access=false全局關閉公共存儲庫,因爲這會将此攻擊向量從未經授權的攻擊更改爲授權的攻擊。這不能被視爲完全緩解,因爲具有用戶帳戶的攻擊者仍然可能成功。”
CVE-2022-36804由AppSec審計員(yuán)Maxwell Garret(又(yòu)名TheGrandPew)報告,他最近承諾在9月底發布PoC。
當然,沒有什麽能阻止攻擊者對提供的修複補丁進行反向工(gōng)程,以收集足夠的信息來攻擊該漏洞,從而創建有效的攻擊,因此用戶應迅速采取行動阻止這一(yī)攻擊途徑。
上一(yī)篇:組織機構改變網絡安全戰略以應對有民族國家傾向的網絡攻擊
下(xià)一(yī)篇:新冠肺炎數據在暗網上出售