Atlassian 修复了严重的 Bitbucket 服务器和数据中心漏洞

关键要点

• Atlassian 已修补的 CVE-2022-36804 漏洞允许任意代码执行。
• 影响所有 6.10.17 及更高版本的 Bitbucket 服务器和数据中心。
• 攻击者可利用特制的 HTTP 请求进行命令注入。
• Atlassian 建议用户及时升级系统，或暂时禁用公共仓库以减轻风险。

Atlassian 最近修复了一个重大的 Bitbucket 服务器和数据中心漏洞，编号为 CVE-2022-36804。根据
的报道，该漏洞可能被恶意利用来触发任意代码执行。该缺陷使得攻击者能够通过特别构造的 HTTP 请求来利用命令注入漏洞，影响所有版本为 6.10.17及以上的 Bitbucket 服务器和数据中心，并波及多个端点。

Atlassian 表示：“如果攻击者能够访问公共 Bitbucket 仓库，或者对私有仓库拥有读取权限，他们可以通过发送恶意 HTTP请求来执行任意代码。” 因此，Atlassian 强烈建议 vulnerable software 的用户及时升级他们的系统。

对于那些无法立即应用补丁的组织，Atlassian 建议通过设置 “feature.public.access=false”
来临时禁用公共仓库，以防止该漏洞被利用。然而，Atlassian 也指出：“这不能算作完全缓解，因为具有用户账户的攻击者仍然可能成功攻击。”
这表明，系统在面对拥有有效凭据的用户时仍然存在入侵的风险。

相关链接

漏洞影响表

版本 | 危险程度 | 建议措施
—|—|—
6.10.17 及以上 | 高 | 尽快升级系统
公共仓库 | 中 | 设置 “feature.public.access=false”

确保您的系统安全，并采取必要措施修复这些漏洞。