CISA将艾特莱森软件Bitbucket Server缺陷添加到其已知的漏洞利用目录

美国网络安全和基础设施安全局( CISA )本周在其已知漏洞目录中增加了艾特莱森软件的Bitbucket服务器和数据中心中最近披露的一个关键漏洞。

根据《绑定操作指令( BOD ) 22-01：降低已知漏洞被利用的重大风险》，FCEB机构必须在到期日前解决已识别的漏洞，以保护其网络免受利用目录中缺陷的攻击。

专家建议私营组织审查《目录》并解决其基础设施中的脆弱性。

  8月底，艾特莱森软件修复了Bitbucket Server和Data Center中的一个关键漏洞，追踪编号为CVE – 2022 – 36804 ( CVSS评分9.9)，可探索在易受攻击的安装上执行恶意代码

该漏洞是通过巧尽心思构建的HTTP请求来利用的命令注入漏洞。

“此警告披露了Bitbucket Server和Data Center 7.0.0版本中引入的严重安全漏洞。” Bitbucket Server和数据中心的多个API端点中存在命令注入漏洞。具有访问公共存储库或读取私有Bitbucket存储库权限的攻击者可以通过发送恶意HTTP请求执行任意代码。

此问题会影响6.10.17之后发布的所有版本，包括7.0.0及更新版本，这意味着所有运行7.0.0和8.3.0 (含)之间任何版本的安装都会受到影响。

CISA命令联邦机构在2022年10月21日前修复这些漏洞。