Atlassian vá lỗ hổng nghiêm trọng trong Bitbucket Server và Data Center

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
93
600 bài viết
Atlassian vá lỗ hổng nghiêm trọng trong Bitbucket Server và Data Center
Atlassian đã phát hành bản vá để khắc phục các lỗ hổng nghiêm trọng ảnh hưởng đến sản phẩm Bitbucket Server và Data Center.

bit.jpg

CVE-2022-43781 và CVE-2022-43782 đều được xếp hạng điểm CVSS 9/10. Trong đó CVE-2022-43781 là lỗ hổng chèn lệnh (command injection) bằng cách sử dụng các biến môi trường trong phần mềm, có thể cho phép kẻ tấn công kiểm soát tên người dùng để chiếm quyền thực thi mã trên hệ thống. Lỗ hổng ảnh hưởng đến phiên bản 7.0 đến 7.21 và 8.0 đến 8.4 (chỉ khi mesh.enabled thành false trong bitbucket.properties).

Hãng đưa ra giải pháp tạm thời bằng cách khuyến cáo người dùng tắt tùy chọn "Public Signup" (Administration > Authentication). Tuy nhiên, người dùng đã được xác thực như ADMIN hoặc SYS_ADMIN vẫn có khả năng khai thác lỗ hổng khi đã tắt "Public Signup".

Lỗ hổng thứ hai là CVE-2022-43782 liên quan đến cấu hình sai trong Crowd Server và Data Center có thể cho phép kẻ tấn công
gọi các điểm cuối API có đặc quyền nhưng chỉ trong trường hợp đang kết nối từ địa chỉ IP được thêm vào cấu hình Remote Address.

Người dùng đã nâng cấp từ phiên bản trước Crowd 3.0.0 khó có thể bị ảnh hưởng bởi CVE-2022-43782.

Các lỗ hổng trong Atlassian và Bitbucket đang bị khai thác trên thực tế nên người dùng cần phải nhanh chóng cập nhật các bản vá càng sớm càng tốt.

 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
atlassian bitbucket server cve-2022-43781 data center
Bên trên