漏洞描述
监测发现,Atlassian Bitbucket Data Center存在远程代码执行漏洞。Atlassian Bitbucket Data Center是 Atlassian的 Git存储库管理解决方案,其为需要高可用性和大规模性能的企业提供源代码协作。由于 Atlassian Bitbucket Data Center中的 Hazelcast接口功能未对用户数据进行有效过滤,不法分子利用该漏洞可以构造恶意数据远程执行任意代码。当 Atlassian Bitbucket Data Center以 Cluster模式安装时,会受该漏洞影响。
影响范围
Atlassian Bitbucket Data Center是 Atlassian推出的一款现代化代码协作平台,支持代码审查、分支权限管理、CICD等功能。如果 Bitbucket Data Center以 Cluster模式安装则可能受该漏洞影响。
目前受影响的 Atlassian Bitbucket Data Center版本:
Atlassian Bitbucket Data Center >= 5.14.x
Atlassian Bitbucket Data Center 6.x
Atlassian Bitbucket Data Center < 7.6.14
Atlassian Bitbucket Data Center < 7.16.x
Atlassian Bitbucket Data Center < 7.17.6
Atlassian Bitbucket Data Center < 7.18.4
Atlassian Bitbucket Data Center < 7.19.4
Atlassian Bitbucket Data Center 7.20.0
解决方案
当前官方已发布最新版本,建议及时更新升级到最新版本。链接如下:
https://www.atlassian.com/software/bitbucket/download-archives
可以通过以下方式自查 Bitbucket Data Center是否是以 Cluster模式安装的。打开 Bitbucket Data Center的安装目录下的 confluence.cfg.xml文件,若包含以下内容,则表明是以 Cluster模式安装的。
<property name="confluence.cluster">true</property>
参考链接
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-26815
