Bitbucket Server 中發現了一個嚴重漏洞(CVE-2022-36804),Bitbucket Server 是一個用於部署Web 介面以與git 儲存庫配合使用的程式包,允許對私有或公用儲存庫具有讀取權限的遠端攻擊者在伺服器上執行任意程式碼透過傳送完成的 HTTP 請求。 該問題自版本 6.10.17 以來一直存在,並已在 Bitbucket Server 和 Bitbucket Data Center 版本 7.6.17、7.17.10、7.21.4、8.0.3、8.2.2 和 8.3.1 中解決。 該漏洞不會出現在 bitbucket.org 雲端服務中,而僅影響安裝在其本地的產品。
該漏洞由安全研究人員發現,作為 Bugcrowd Bug Bounty 計劃的一部分,該計劃為識別以前未知的漏洞提供獎勵。 懸賞金額為六千元。 有關攻擊方法和漏洞原型的詳細資訊承諾在修補程式發布後 6 天公佈。 作為在應用修補程式之前降低系統遭受攻擊風險的措施,建議使用「feature.public.access=false」設定來限制對儲存庫的公共存取。
來源: opennet.ru