一、漏洞概要
| 漏洞名称 |
Bitbucket Server and Data Center 远程命令执行漏洞CVE-2022-43781 |
| 发布时间 |
2022年11月22日 |
| 组件名称 |
Atlassian Bitbucket Server and Data Center |
| 影响范围 |
7.0.0≤Bitbucket Server and Data Center<7.6.19 7.7.0≤Bitbucket Server and Data Center<7.17.12 7.18.0≤Bitbucket Server and Data Center<7.21.6 7.22.0≤Bitbucket Server and Data Center<8.0.5 |
| 漏洞类型 |
远程代码执行 |
| 利用条件 |
1、用户认证:不需要用户认证 |
| 综合评价 |
<综合评定利用难度>:容易,无需授权即可远程代码执行。 <综合评定威胁等级>:高危,能造成远程代码执行。 |
二、漏洞分析
2.1 组件介绍
Atlassian Bitbucket Data Center是Atlassian推出的一款现代化代码协作平台,支持代码审查、分支权限管理、CICD等功能。同时也是大规模构建优质软件。使用Bitbucket Data Center的智能镜像功能,可以缩短克隆时间并减少CI构建造成的拥塞。使用Data Center的迁移工具可降低管理多个实例的管理开销。
2.2 漏洞描述
2022年11月22日,深信服安全团队监测到一则Atlassian Bitbucket Server and Data Center组件存在远程代码执行漏洞的信息,漏洞编号:CVE-2022-43781,漏洞威胁等级:高危。
该漏洞是由于环境变量存在命令注入漏洞,攻击者可利用该漏洞在未授权情况下,构造恶意数据执行远程代码执行攻击,最终获取服务器最高权限。
三、影响范围
Atlassian Bitbucket Data Center作为Atlassian推出的一款现代化代码协作平台,可能受漏洞影响的资产广泛分布于世界各地,国内省份中,北京、上海、浙江、广东、江苏等省市接近70%,再加上涉及用户量过多,导致漏洞影响力很大。
目前受影响的Atlassian Bitbucket Server and Data Center版本:
7.0.0≤Bitbucket Server and Data Center<7.6.19
7.7.0≤Bitbucket Server and Data Center<7.17.12
7.18.0≤Bitbucket Server and Data Center<7.21.6
7.22.0≤Bitbucket Server and Data Center<8.0.5
四、解决方案
4.1修复建议
1.如何检测组件系统版本
访问登陆页面,即可查看当前版本号。
2.官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://www.atlassian.com/software/bitbucket/download-archives
评论