Atlassian针对影响人群和比特桶产品的关键缺陷发布补丁

澳大利亚软件公司Atlassian推出了安全更新，以解决影响Bitbucket服务器、数据中心和Crowd产品的两个关键缺陷。

问题，跟踪为电子邮箱2022-43781和电子邮箱2022-43782，在CVSS漏洞评分系统中均为10分之9。

Atlassian表示，CVE-2022-43781是在Bitbucket服务器和数据中心的7.0.0版本中引入的，它会影响7.0到7.21和8.0到8.4版本（仅当在Bitbucket.properties中mesh.enabled设置为false时）。

该弱点已被描述为使用软件中的环境变量进行命令注入的情况，这可能会允许具有控制其用户名权限的对手在受影响的系统上执行代码。

作为临时解决办法，该公司建议用户关闭“公共注册”选项（管理&gt；身份验证）。

它在一份公告中指出：“禁用公共注册将使攻击向量从未经身份验证的攻击转变为经过身份验证的袭击，从而降低被利用的风险”。“当禁用公共注册时，ADMIN或SYS_ADMIN身份验证的用户仍然能够利用该漏洞”。

第二个漏洞CVE-2022-43782涉及CrowdServer和数据中心中的错误配置，这可能允许攻击者调用特权API端点，但仅在不良行为者从添加到远程地址配置中的IP地址进行连接的情况下。

Crowd 3.0.0中引入并在内部安全审查中发现，该缺陷会影响所有新安装，这意味着从Crowd 3.0之前的版本升级的用户不会受到攻击。

Atlassian和Bitbucket中的缺陷在野外受到积极利用并不罕见，因此用户必须迅速采取行动来应用补丁。

上个月，美国网络安全和基础设施安全局(CISA)警告称，自2022年9月下旬以来，比特桶服务器和数据中心(CVE-2022-36804, CVSS评分:9.9)的命令注入漏洞正在被武器化。