Atlassian Bitbucket Server 和 Data Center 命令注入漏洞-低调大师

Atlassian Bitbucket Server 和 Data Center 命令注入漏洞

2022-08-26 567

漏洞描述

Atlassian Bitbucket Server是澳大利亚Atlassian公司的一款Git代码托管解决方案。

在Bitbucket Server 和 Data Center 的多个 API 端点处存在命令注入漏洞。有权访问公共 Bitbucket 存储库或对私有存储库具有读取权限的攻击者可以通过发送恶意 HTTP 请求来执行任意代码。

漏洞名称	Atlassian Bitbucket Server 和 Data Center 命令注入漏洞
漏洞类型	命令注入
发现时间	2022/8/26
漏洞影响广度	广
MPS编号	MPS-2022-52474
CVE编号	CVE-2022-36804
CNVD编号	-

影响范围

Atlassian Data Center@[7.0.0, 7.6.17)

Atlassian Bitbucket Server@[7.0.0, 7.6.17)

Atlassian Data Center@[7.7.0, 7.17.10)

Atlassian Bitbucket Server@[7.7.0, 7.17.10)

Atlassian Data Center@[7.18.0, 7.21.4)

Atlassian Bitbucket Server@[7.18.0, 7.21.4)

Atlassian Bitbucket Server@[8.1.0, 8.1.3)

Atlassian Bitbucket Server@[8.0.0, 8.0.3)

Atlassian Data Center@[8.1.0, 8.1.3)

Atlassian Bitbucket Server@[8.3.0, 8.3.1)

Atlassian Data Center@[8.3.0, 8.3.1)

Atlassian Bitbucket Server@[8.2.0, 8.2.2)

Atlassian Data Center@[8.0.0, 8.0.3)

Atlassian Data Center@[8.2.0, 8.2.2)

修复方案

将Atlassian Bitbucket Server 和 Data Center升级到 7.0.0 或 7.6.17 或 7.17.10 或 7.21.4 或 8.0.3 或 8.1.3 或 8.2.2 或 8.3.1 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-52474

https://nvd.nist.gov/vuln/detail/CVE-2022-36804/

https://jira.atlassian.com/browse/BSERV-13438

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式，发布开源项目最新的安全风险动态，包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务，社区用户可通过配置飞书、钉钉、企业微信机器人，及时获得一手情报信息推送：

https://www.oscs1024.com/?src=osc

具体订阅方式详见：

https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

微信关注我们

原文链接：https://www.oschina.net/news/208030

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

layui - vue 1.4.5 发布，基于 vue 3.0 的桌面端组件库

更新内容 [新增] page 组件 change 事件。 [新增] card 组件 footer 插槽, 用于自定义底部。 [新增] table 组件 change 事件 limit 参数, 代表每页数量。 [新增] table 组件 footer 插槽, 用在 page 与 body 之间自定义内容。 [修复] upload 组件 field 属性无效。 [修复] upload 组件 acceptMime 属性默认值无效。 [修复] menu 组件 changeOpenKeys 事件, 初始化时回调的问题。 [修复] dropdown 组件 popupContainer 不适用于 vue 自身渲染的元素的问题。 [修复] date-picker 组件 v-model 为空时, 无法完成日期时间选择。 [修复] quote 组件 margin 属性错误。 [修复] scroll 组件 default slots 改变时, 滑块不更新的问题。 [修复] table 组件 loading 属性造成的单元格错位。 [优化] page 组件跳转操作, 当输入页码为当前页启用禁用状态。...

2022-08-26

484

漏洞描述 Apache Hadoop YARN CapacityScheduler 提供了在 Hadoop 的管理资源和调度作业的功能。 Apache Hadoop YARN CapacityScheduler 中的 ZKConfigurationStore 由于没有验证从 ZooKeeper 获得的数据就进行反序列化处理，使得有权访问 ZooKeeper 的攻击者通过特制数据以 YARN 用户身份运行任意命令。漏洞名称 Apache Hadoop YARN 远程代码执行漏洞漏洞类型代码注入发现时间 2022/8/25 漏洞影响广度一般 MPS编号 MPS-2021-20833 CVE编号 CVE-2021-25642 CNVD编号 - 影响范围 org.apache.hadoop:hadoop-yarn-server-resourcemanager@[3.0.0-alpha, 3.2.4) org.apache.hadoop:hadoop-yarn-server-resourcemanager@[3.3.0, 3.3.4) org.apache.hadoop:hadoop-...

2022-08-26

563

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

WebStorm

WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScript IDE”等。与IntelliJ IDEA同源，继承了IntelliJ IDEA强大的JS部分的功能。