Atlassian Bitbucket Server 和 Data Center 命令注入漏洞-低调大师

Atlassian Bitbucket Server 和 Data Center 命令注入漏洞

2022-08-26 517

漏洞描述

Atlassian Bitbucket Server是澳大利亚Atlassian公司的一款Git代码托管解决方案。

在Bitbucket Server 和 Data Center 的多个 API 端点处存在命令注入漏洞。有权访问公共 Bitbucket 存储库或对私有存储库具有读取权限的攻击者可以通过发送恶意 HTTP 请求来执行任意代码。

漏洞名称	Atlassian Bitbucket Server 和 Data Center 命令注入漏洞
漏洞类型	命令注入
发现时间	2022/8/26
漏洞影响广度	广
MPS编号	MPS-2022-52474
CVE编号	CVE-2022-36804
CNVD编号	-

影响范围

Atlassian Data Center@[7.0.0, 7.6.17)

Atlassian Bitbucket Server@[7.0.0, 7.6.17)

Atlassian Data Center@[7.7.0, 7.17.10)

Atlassian Bitbucket Server@[7.7.0, 7.17.10)

Atlassian Data Center@[7.18.0, 7.21.4)

Atlassian Bitbucket Server@[7.18.0, 7.21.4)

Atlassian Bitbucket Server@[8.1.0, 8.1.3)

Atlassian Bitbucket Server@[8.0.0, 8.0.3)

Atlassian Data Center@[8.1.0, 8.1.3)

Atlassian Bitbucket Server@[8.3.0, 8.3.1)

Atlassian Data Center@[8.3.0, 8.3.1)

Atlassian Bitbucket Server@[8.2.0, 8.2.2)

Atlassian Data Center@[8.0.0, 8.0.3)

Atlassian Data Center@[8.2.0, 8.2.2)

修复方案

将Atlassian Bitbucket Server 和 Data Center升级到 7.0.0 或 7.6.17 或 7.17.10 或 7.21.4 或 8.0.3 或 8.1.3 或 8.2.2 或 8.3.1 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-52474

https://nvd.nist.gov/vuln/detail/CVE-2022-36804/

https://jira.atlassian.com/browse/BSERV-13438

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式，发布开源项目最新的安全风险动态，包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务，社区用户可通过配置飞书、钉钉、企业微信机器人，及时获得一手情报信息推送：

https://www.oscs1024.com/?src=osc

具体订阅方式详见：

https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

微信关注我们

原文链接：https://www.oschina.net/news/208030

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

layui - vue 1.4.5 发布，基于 vue 3.0 的桌面端组件库

更新内容 [新增] page 组件 change 事件。 [新增] card 组件 footer 插槽, 用于自定义底部。 [新增] table 组件 change 事件 limit 参数, 代表每页数量。 [新增] table 组件 footer 插槽, 用在 page 与 body 之间自定义内容。 [修复] upload 组件 field 属性无效。 [修复] upload 组件 acceptMime 属性默认值无效。 [修复] menu 组件 changeOpenKeys 事件, 初始化时回调的问题。 [修复] dropdown 组件 popupContainer 不适用于 vue 自身渲染的元素的问题。 [修复] date-picker 组件 v-model 为空时, 无法完成日期时间选择。 [修复] quote 组件 margin 属性错误。 [修复] scroll 组件 default slots 改变时, 滑块不更新的问题。 [修复] table 组件 loading 属性造成的单元格错位。 [优化] page 组件跳转操作, 当输入页码为当前页启用禁用状态。...

2022-08-26

437

漏洞描述 Apache Hadoop YARN CapacityScheduler 提供了在 Hadoop 的管理资源和调度作业的功能。 Apache Hadoop YARN CapacityScheduler 中的 ZKConfigurationStore 由于没有验证从 ZooKeeper 获得的数据就进行反序列化处理，使得有权访问 ZooKeeper 的攻击者通过特制数据以 YARN 用户身份运行任意命令。漏洞名称 Apache Hadoop YARN 远程代码执行漏洞漏洞类型代码注入发现时间 2022/8/25 漏洞影响广度一般 MPS编号 MPS-2021-20833 CVE编号 CVE-2021-25642 CNVD编号 - 影响范围 org.apache.hadoop:hadoop-yarn-server-resourcemanager@[3.0.0-alpha, 3.2.4) org.apache.hadoop:hadoop-yarn-server-resourcemanager@[3.3.0, 3.3.4) org.apache.hadoop:hadoop-...

2022-08-26

517

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。