BitBucket参数注入漏洞安全通告
发布时间 2019-09-23●漏洞编号和级别
CVE编号:CVE-2019-15000,危险级别:严重,CVSS分值:9.8
●影响版本
version < 5.16.10
6.0.0 <= version < 6.0.10
6.1.0 <= version < 6.1.8
6.2.0 <= version < 6.2.6
6.3.0 <= version < 6.3.5
6.4.0 <= version < 6.4.3
6.5.0 <= version < 6.5.2
●漏洞概述
Atlassian Bitbucket Server和Atlassian Bitbucket Data Center都是澳大利亚Atlassian公司的产品。Atlassian Bitbucket Server是一款Git代码托管解决方案。该方案能够管理并审查代码,具有差异视图、JIRA集成和构建集成等功能。Atlassian Bitbucket Data Center是Atlassian Bitbucket的数据中心版本。
近日,Atlassian 官方发布了关于Atlassian Bitbucke漏洞公告,Atlassian Bitbucket Server和Atlassian Bitbucket Data Center中存在注入漏洞,允许攻击者向Git命令注入额外的参数,这可能导致远程命令执行。如果远程攻击者能够访问Bitbucket Server或Bitbucket Data Center中的Git存储库,则可以利用此参数注入漏洞。如果为项目或存储库启用了公共访问,则攻击者可以匿名利用此漏洞。
●漏洞验证
暂无POC、EXP。
●修复建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://jira.atlassian.com/browse/BSERV-11947
●参考链接
https://jira.atlassian.com/browse/BSERV-11947
https://confluence.atlassian.com/bitbucketserver/bitbucket-server-security-advisory-2019-09-18-976762635.html
京公网安备11010802024551号