別の重要な アトラシアンの脆弱性 Bitbucket Server および Data Center の多数の API エンドポイントで報告されています。. 問題の脆弱性は CVE-2022-36804 です, バージョンでのコマンド インジェクションの問題 7.0.0 Bitbucket Server と Data Center の.
CVE-2022-36804: Atlassian Bitbucket Server およびデータ センターの脆弱性
公式アドバイザリーによると, 以降にリリースされたすべての Bitbucket バージョン 6.10.17, 含む 7.0.0 そして新しいもの, 影響を受ける. 言い換えると, 間の任意のバージョンを実行しているすべてのインスタンス 7.0.0 と 8.3.0 コマンドインジェクションの欠陥にさらされている.
技術用語で, この脆弱性は、パブリック リポジトリへのアクセス権またはプライベート Bitbucket リポジトリへの読み取り権限を持つ攻撃者によって悪用される可能性があります。. 重大な問題は、悪意のある HTTP 要求を送信することによって開始される任意のコード実行攻撃で使用される可能性があります.
CVE-2022-36804 に起因するリスクを回避するために, Bitbucket サーバーのお客様は、インスタンスを修正済みバージョンのいずれかにアップグレードする必要があります. 何らかの理由で現時点でアップグレードできない場合, 一時的な緩和技術が利用可能です. Atlassian は、設定によってパブリック リポジトリをグローバルにオフにすることを提案しています。 feature.public.access=false.
この手順により、既存の攻撃ベクトルが無許可の攻撃から許可された攻撃に変更されます. この措置, でも, 完全な緩和とは見なされない. ユーザー アカウントを持つ脅威アクターは、依然として攻撃の実行に成功する可能性があります, アトラシアン 指摘した.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: