Atlassian Bitbucket < 7.6.17 / 7.17.10 / 7.21.4 / 8.0.4 / 8.1.3 / 8.2.2 / 8.3.1 RCE
high Nessus 插件 ID 164810
语言:
简介
远程主机上安装的 Atlassian Bitbucket 版本受到远程代码执行漏洞的影响。描述
远程主机上安装的 Atlassian Bitbucket 版本为 7.6.17 之前的 7.0.0 版本、7.17.10 之前的 7.7.0 版本、7.21.4 之前的 7.18.0 版本、8.0.3 之前的 8.0 版本、8.1.3 之前的 8.1 版本、8.2.2 之前的 8.2 版本或 8.3.1 之前的 8.3 版本。因此,该操作系统受到远程代码执行漏洞的影响。对公开或私有 Bitbucket 存储库具有读取权限的远程攻击者可发送恶意 HTTP 请求,导致任意代码执行。请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
请升级到 7.6.17、7.17.10、7.21.4、8.0.3、8.1.3、8.2.2、8.3.1 或更高版本。另见
插件详情
严重性: High
ID: 164810
文件名: bitbucket_8_3_1.nasl
版本: 1.6
类型: remote
系列: CGI abuses
发布时间: 2022/9/7
最近更新时间: 2023/1/26
风险信息
VPR
风险因素: High
分数: 7.4
CVSS v2
风险因素: High
基本分数: 9
时间分数: 7.8
矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS 分数来源: CVE-2022-36804
CVSS v3
风险因素: High
基本分数: 8.8
时间分数: 8.4
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:H/RL:O/RC:C
漏洞信息
CPE: cpe:/a:atlassian:bitbucket
必需的 KB 项: installed_sw/bitbucket
可利用: true
易利用性: Exploits are available
补丁发布日期: 2022/8/24
漏洞发布日期: 2022/8/24
CISA 已知可遭利用的漏洞到期日期: 2022/10/21
可利用的方式
Core Impact
Metasploit (Bitbucket Git Command Injection)
参考资料信息
CVE: CVE-2022-36804