Atlassian 发布安全公告,警告Bitbucket服务器和数据中心用户存在一个严重安全漏洞,攻击者可以利用该漏洞在易受攻击的实例上执行任意代码。
Bitbucket是一个基于Git的代码托管、管理和协作工具,集成了Jira和Trello。最新的漏洞被跟踪为CVE-2022-36804,是软件产品的多个API 端点中的命令注入。它的 CVSS 严重性评分为 9.9(满分为 10.0),也就是说这是一个应立即修补的严重漏洞。
Atlassian安全专家称,“利用该漏洞可有权访问公共存储库或对私有 Bitbucket 存储库具有读取权限的攻击者可以通过发送恶意 HTTP 请求来执行任意代码。”
据悉,该漏洞影响 6.10.17 之后的所有 Bitbucket Server 和 Data Center 版本,包括 7.0.0 和最高 8.3.0。如果是无法进行应用安全更新的用户,可通过使用“feature.public.access=false”关闭公共存储库来应用临时部分缓解措施。[阅读原文]