The hacker news 網站披露，Atlassian Bitbucket 服務器和數據中心出現嚴重漏洞，該漏洞可能允許攻擊者執行惡意代碼，Atlassian 目前已經推出了漏洞修復方案。

安全漏洞被追蹤為 CVE-2022-36804（CVSS 評分：9.9），是一個多端點的命令注入漏洞，潛在攻擊者可通過特制的 HTTP 請求加以利用。

服務器多個版本受到漏洞影響

據悉，CVE-2022-36804 漏洞由網絡安全研究員 TheGrandPew 發現，經過詳細分析，這一漏洞主要影響了 6.10.17 之后發布的所有版本 Bitbucket Server 和 Datacenter，7.0.0 和更高版本也受到嚴重影響。

受漏洞影響的服務器版本詳情如下：

• Bitbucket 服務器和數據中心7.6；
• Bitbucket服務器和數據中心7.17版；
• Bitbucket服務器和數據中心7.21版；
• Bitbucket服務器和數據中心 8.0版；
• Bitbucket服務器和數據中心 8.1版；
• Bitbucket服務器和數據中心 8.2版；
• Bitbucket服務器和數據中心 8.3版。

CVE-2022-36804 漏洞爆出不久后，Atlassian 在一份公告中表示，潛在攻擊者在擁有公共 Bitbucket 存儲庫訪問權或私有存儲庫讀取權限的情況下，可以通過發送惡意的 HTTP 請求來執行任意代碼。

Atlassian 建議用戶應盡快更新補丁

鑒于部分用戶無法立即應用補丁，Atlassian提供了臨時解決辦法。用戶可以使用 “feature.public.access=false ”關閉公共存儲庫，以防止未經授權的用戶利用該漏洞。

Atlassian 強調，這種方式并不是一個完美的緩解措施，已經通過其他方式獲取了有效憑據的潛在攻擊者依然可以利用漏洞，這意味著部分擁有用戶賬戶的攻擊者仍然可以成功利用該漏洞，進行網絡攻擊活動。

最后，Atlassian 建議受漏洞影響的用戶盡快升級到最新版本，以減輕潛在的安全威脅。

參考文章：https://thehackernews.com/2022/08/critical-vulnerability-discovered-in.html