2022/8/30 10:01:32 人評論次

修復Atlassian Bitbucket服務器和數(shù)據(jù)中心中的關鍵漏洞！（CVE-2022-36804）

未經(jīng)授權的攻擊者可以利用Atlassian Bitbucket服務器和數(shù)據(jù)中心中的一個關鍵漏洞（CVE-2022-36804）在易受攻擊的實例上執(zhí)行惡意代碼。

關于CVE-2022-36804

Bitbucket服務器和數(shù)據(jù)中心被世界各地的軟件開發(fā)人員用于源代碼修訂控制、管理和托管。

CVE-2022-36804是Bitbucket服務器和數(shù)據(jù)中心的多個API端點中的命令注入漏洞。

Atlassian解釋說：“具有公共存儲庫訪問權限或私人Bitbucket存儲庫讀取權限的攻擊者可以通過發(fā)送惡意HTTP請求來執(zhí)行任意代碼?！?。攻擊者可以采取哪些后續(xù)操作取決于與受攻擊應用程序關聯(lián)的權限。

在版本7.6.17、7.17.10、7.21.4、8.0.3、8.1.2、8.2.2和8.3.1之前發(fā)布的所有Bitbucket服務器和數(shù)據(jù)中心版本都有漏洞，但Atlassian托管的Bitbucket安裝不受影響。

在攻擊者開始攻擊之前修復該問題

建議用戶升級到其自托管安裝，以堵塞安全漏洞。

該公司補充說：“如果您已經(jīng)配置了Bitbucket網(wǎng)格節(jié)點，則需要將其更新為包含修復的相應版本的網(wǎng)格?！?。

“如果無法升級Bitbucket，臨時緩解措施是通過設置feature.public.access=false全局關閉公共存儲庫，因為這會將此攻擊向量從未經(jīng)授權的攻擊更改為授權的攻擊。這不能被視為完全緩解，因為具有用戶帳戶的攻擊者仍然可能成功?！?/span>

CVE-2022-36804由AppSec審計員Maxwell Garret（又名TheGrandPew）報告，他最近承諾在9月底發(fā)布PoC。

當然，沒有什么能阻止攻擊者對提供的修復補丁進行反向工程，以收集足夠的信息來攻擊該漏洞，從而創(chuàng)建有效的攻擊，因此用戶應迅速采取行動阻止這一攻擊途徑。

女人被男人进入后的心理变化,女人被添全过程A片添,中国女人做爰A片,女人与公狍交酡女免费,女人张开腿让男人添,女人做爰高潮叫床视频

海龍科技