首頁 > 安全研究 > 安全通報 > 安全通告

BitBucket參數注入漏洞安全通告

發布時間 2019-09-23

漏洞編號和級別


CVE編號:CVE-2019-15000,危險級別:嚴重,CVSS分值:9.8


影響版本


version < 5.16.10

6.0.0 <= version < 6.0.10

6.1.0 <= version < 6.1.8

6.2.0 <= version < 6.2.6

6.3.0 <= version < 6.3.5

6.4.0 <= version < 6.4.3

6.5.0 <= version < 6.5.2


漏洞概述


Atlassian Bitbucket Server和Atlassian Bitbucket Data Center都是澳大利亞Atlassian公司的產品。Atlassian Bitbucket Server是一款Git代碼托管解決方案。該方案能夠管理并審查代碼,具有差異視圖、JIRA集成和構建集成等功能。Atlassian Bitbucket Data Center是Atlassian Bitbucket的數據中心版本。


近日,Atlassian 官方發布了關于Atlassian Bitbucke漏洞公告,Atlassian Bitbucket Server和Atlassian Bitbucket Data Center中存在注入漏洞,允許攻擊者向Git命令注入額外的參數,這可能導致遠程命令執行。如果遠程攻擊者能夠訪問Bitbucket Server或Bitbucket Data Center中的Git存儲庫,則可以利用此參數注入漏洞。如果為項目或存儲庫啟用了公共訪問,則攻擊者可以匿名利用此漏洞。


漏洞驗證


暫無POC、EXP。


修復建議


目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:

https://jira.atlassian.com/browse/BSERV-11947


參考鏈接


https://jira.atlassian.com/browse/BSERV-11947

https://confluence.atlassian.com/bitbucketserver/bitbucket-server-security-advisory-2019-09-18-976762635.html

上一篇 下一篇