Casa > Cyber ​​Notizie > CVE-2022-36804: Difetto critico del server Bitbucket Atlassian
CYBER NEWS

CVE-2022-36804: Difetto critico del server Bitbucket Atlassian

da   |  Ultimo aggiornamento:  |  0 Commenti  

CVE-2022-36804: Difetto critico del server Bitbucket Atlassian
Un altro critico Vulnerabilità atlante è stato segnalato in numerosi endpoint API di Bitbucket Server e Data Center. La vulnerabilità in questione è CVE-2022-36804, un problema di iniezione dei comandi nella versione 7.0.0 di Bitbucket Server e Data Center.

CVE-2022-36804: Vulnerabilità Atlassian Bitbucket Server e Data Center

Secondo l'advisory ufficiale, tutte le versioni di Bitbucket rilasciate dopo 6.10.17, Compreso 7.0.0 e quelli più recenti, sono colpiti. In altre parole, tutte le istanze che eseguono qualsiasi versione tra 7.0.0 e 8.3.0 inclusi sono esposti al difetto di iniezione del comando.




In termini tecnici, la vulnerabilità può essere sfruttata da un attore di minacce con accesso a un repository pubblico o con autorizzazioni di lettura a un Bitbucket privato. Il problema critico può essere utilizzato in attacchi arbitrari di esecuzione di codice avviati inviando una richiesta HTTP dannosa.

Al fine di evitare i rischi derivanti da CVE-2022-36804, I clienti del server Bitbucket devono aggiornare le proprie istanze a una delle versioni fisse. Se per qualsiasi motivo l'aggiornamento non è possibile al momento, è disponibile una tecnica di mitigazione temporanea. Atlassian suggerisce di disattivare i repository pubblici a livello globale impostando feature.public.access=falso.

Questo passaggio cambierà il vettore di attacco esistente da attacco non autorizzato a attacco autorizzato. Questa misura, tuttavia, non può essere considerata una mitigazione completa. Un attore di minacce con un account utente potrebbe comunque riuscire a portare a termine un attacco, Atlante sottolineato.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Post correlati:
  1. CVE-2021-26084: Difetto critico di confluenza di Atlassian sfruttato in natura CVE-2021-26084 is a vulnerability in Atlassian Confluence deployments across Windows...
  2. Adobe patch 112 Alcune vulnerabilità in Ultime Patch Package (CVE-2018-5007) Adobe ha rilasciato l'ultimo pacchetto di patch che risolve un problema....
  3. CVE-2020-36239: La vulnerabilità critica di Atlassian dovrebbe essere riparata immediatamente Un difetto critico nella piattaforma Atlassian, in multiple versions...
  4. CVE-2022-26134: Vulnerabilità critica di RCE in Confluence Server e Data Center CVE-2022-26134 is a new critical unauthenticated remote code execution vulnerability...
  5. CVE-2022-44698, CVE-2022-44710: Correzioni Microsoft 2 Zero giorni È uscito un altro martedì di patch Microsoft, fissando un totale...
  6. CVE-2022-31656: Vulnerabilità critica di bypass dell'autenticazione VMware VMware ha recentemente rilasciato un'altra serie di patch che affrontano un numero....
  7. Le vulnerabilità più sfruttate in 2021 Includere CVE-2021-44228, CVE-2021-26084 Quali erano le vulnerabilità di sicurezza più sfruttate di routine 2021?...
  8. Gli hacker Execute ransomware su GitHub e bitbucket Repositories A radical new approach is being utilized by hackers who...

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo