Bitbucket Server and Data Center 远程命令执行漏洞（CVE-2022-36804）

admin

0
文章

0
评论

2024-01-02 16:59:09 Ali_highrisk 来源：ZONE.CI 全球网 0 阅读模式

严重 Bitbucket Server and Data Center 远程命令执行漏洞（CVE-2022-36804）

CVE编号

CVE-2022-36804

利用情况

EXP 已公开

补丁情况

官方补丁

披露时间

2022-08-25

漏洞描述

Bitbucket Server 与 Data Center 是一款代码协作软件。近期Atlassian官方发布安全更新，披露了CVE-2022-36804 Bitbucket Server and Data Center 远程命令执行漏洞。攻击者在可以接触到公开项目，或者对私有项目拥有read权限的情况下，可利用相关API执行任意命令，控制服务器。影响版本： 7.6 <= Bitbucket Server and Data Center < 7.6.17 7.17 <= Bitbucket Server and Data Center < 7.17.10 7.21 <= Bitbucket Server and Data Center < 7.21.4 8.0 <= Bitbucket Server and Data Center < 8.0.3 8.1 <= Bitbucket Server and Data Center < 8.1.3 8.2 <= Bitbucket Server and Data Center < 8.2.2 8.3 <= Bitbucket Server and Data Center < 8.3.1 其余不受支持版本均可能受影响。安全版本： Bitbucket Server and Data Center 7.6.17 (LTS) Bitbucket Server and Data Center 7.17.10 (LTS) Bitbucket Server and Data Center 7.21.4 (LTS) Bitbucket Server and Data Center 8.0.3 Bitbucket Server and Data Center 8.1.3 Bitbucket Server and Data Center 8.2.2 Bitbucket Server and Data Center 8.3.1

解决建议

1、官方已经发布安全更新，请尽快升级。2、利用阿里云安全组功能，设置BitBucket 仅对可信地址开放。

参考链接
http://packetstormsecurity.com/files/168470/Bitbucket-Git-Command-Injection.html
http://packetstormsecurity.com/files/171453/Bitbucket-7.0.0-Remote-Command-Ex...
https://confluence.atlassian.com/bitbucketserver/bitbucket-server-and-data-ce...
https://jira.atlassian.com/browse/BSERV-13438

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	atlassian	bitbucket	*	From (including) 7.0.0	Up to (excluding) 7.6.17
	运行在以下环境
	应用	atlassian	bitbucket	*	From (including) 7.18.0	Up to (excluding) 7.21.4
	运行在以下环境
	应用	atlassian	bitbucket	*	From (including) 7.7.0	Up to (excluding) 7.17.10
	运行在以下环境
	应用	atlassian	bitbucket	*	From (including) 8.0.0	Up to (excluding) 8.0.3
	运行在以下环境
	应用	atlassian	bitbucket	*	From (including) 8.1.0	Up to (excluding) 8.1.3
	运行在以下环境
	应用	atlassian	bitbucket	*	From (including) 8.2.0	Up to (excluding) 8.2.2
	运行在以下环境
	应用	atlassian	bitbucket	8.3.0	-