一、产品描述

Bitbucket是Atlassian公司提供的一个基于web的版本库托管服务，支持Mercurial和Git版本控制系统。

二、漏洞技术细节

Bitbucket Server 和 Data Center 中存在使用环境变量的命令注入漏洞。有权控制其用户名的攻击者可以利用此问题在系统上执行任意代码。如果 Bitbucket 服务器和数据中心实例启用了“允许公共注册”，则此漏洞可能无法通过身份验证。

三、影响版本

Bitbucket_Data_Center   7.0

Bitbucket_Data_Center   7.17.12

Bitbucket_Data_Center   7.21.6

Bitbucket_Data_Center   7.6.19

Bitbucket_Data_Center   8.0.5

Bitbucket_Data_Center   8.1.5

Bitbucket_Data_Center   8.2.4

Bitbucket_Data_Center   8.3.3

Bitbucket_Data_Center   8.4.2

Bitbucket_Data_Center   8.5.0

Bitbucket_Server 7.0

Bitbucket_Server      7.17.12

Bitbucket_Server      7.21.6

Bitbucket_Server      7.6.19

Bitbucket_Server      8.0.5

Bitbucket_Server      8.1.5

Bitbucket_Server      8.2.4

Bitbucket_Server      8.3.3

Bitbucket_Server      8.4.2

Bitbucket_Server      8.5.0

四、受影响资产情况

通过fofa发现，全球3679个使用记录，其中第一名美国997个，第二名德国615个，第三名斯里兰卡311个。

五、修复建议

建议用户更新到最新版本的应用程序或禁用“公共注册”。禁用公共注册会将攻击媒介从未经身份验证的攻击更改为经过身份验证的攻击，从而降低利用风险。

六、漏洞来源

https://nvd.nist.gov/vuln/detail/CVE-2022-43781