严重 Bitbucket Server and Data Center 远程命令执行漏洞(CVE-2022-36804)

CVE编号

CVE-2022-36804

利用情况

EXP 已公开

补丁情况

官方补丁

披露时间

2022-08-25
该漏洞EXP已公开传播,漏洞利用成本极低,建议您立即关注并修复。
漏洞描述
Bitbucket Server 与 Data Center 是一款代码协作软件。近期Atlassian官方发布安全更新,披露了CVE-2022-36804 Bitbucket Server and Data Center 远程命令执行漏洞。攻击者在可以接触到公开项目,或者对私有项目拥有read权限的情况下,可利用相关API执行任意命令,控制服务器。

影响版本:
7.6 <= Bitbucket Server and Data Center < 7.6.17
7.17 <= Bitbucket Server and Data Center < 7.17.10
7.21 <= Bitbucket Server and Data Center < 7.21.4
8.0 <= Bitbucket Server and Data Center < 8.0.3
8.1 <= Bitbucket Server and Data Center < 8.1.3
8.2 <= Bitbucket Server and Data Center < 8.2.2
8.3 <= Bitbucket Server and Data Center < 8.3.1

其余不受支持版本均可能受影响。

安全版本:
Bitbucket Server and Data Center 7.6.17 (LTS)
Bitbucket Server and Data Center 7.17.10 (LTS)
Bitbucket Server and Data Center 7.21.4 (LTS)
Bitbucket Server and Data Center 8.0.3
Bitbucket Server and Data Center 8.1.3
Bitbucket Server and Data Center 8.2.2
Bitbucket Server and Data Center 8.3.1

解决建议
1、官方已经发布安全更新,请尽快升级。
2、利用阿里云安全组功能,设置BitBucket 仅对可信地址开放。
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 atlassian bitbucket * From
(including)
7.0.0
Up to
(excluding)
7.6.17
运行在以下环境
应用 atlassian bitbucket * From
(including)
7.18.0
Up to
(excluding)
7.21.4
运行在以下环境
应用 atlassian bitbucket * From
(including)
7.7.0
Up to
(excluding)
7.17.10
运行在以下环境
应用 atlassian bitbucket * From
(including)
8.0.0
Up to
(excluding)
8.0.3
运行在以下环境
应用 atlassian bitbucket * From
(including)
8.1.0
Up to
(excluding)
8.1.3
运行在以下环境
应用 atlassian bitbucket * From
(including)
8.2.0
Up to
(excluding)
8.2.2
运行在以下环境
应用 atlassian bitbucket 8.3.0 -
阿里云评分
9.6
  • 攻击路径
    远程
  • 攻击复杂度
    容易
  • 权限要求
    无需权限
  • 影响范围
    全局影响
  • EXP成熟度
    EXP 已公开
  • 补丁情况
    官方补丁
  • 数据保密性
    数据泄露
  • 数据完整性
    传输被破坏
  • 服务器危害
    服务器失陷
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-77 在命令中使用的特殊元素转义处理不恰当(命令注入)
NVD-CWE-Other
阿里云安全产品覆盖情况