【安全通报】Atlassian Bitbucket Data Center 远程代码执行漏洞(CVE-2022-26133)
近日,Atlassian发布安全公告,修复了一个存在于Atlassian Bitbucket Data Center中的代码执行漏洞,该漏洞POC已在互联网上公开,可能已被在野利用。
漏洞描述
Atlassian Bitbucket Data Center是Atlassian推出的一款现代化代码协作平台,支持代码审查、分支权限管理、CICD 等功能。
CVE-2022-26133
该漏洞是由于 Atlassian Bitbucket Data Center 中的 Hazelcast 接口未对用户输入数据进行有效过滤,导致存在反序列化漏洞而引起的。攻击者利用该漏洞构造并发送恶意数据可以远程执行任意代码。只有当 Atlassian Bitbucket Data Center 以 Cluster 模式安装时,才可能受该漏洞影响。
危害等级:严重
漏洞复现
白帽汇漏洞研究院已通过漏洞复现证明该漏洞存在。
CVE 编号
CVE-2022-26133
FOFA 查询
影响范围
All 5.x versions >= 5.14.x
All 6.x versions
All 7.x versions < 7.6.14
All versions 7.7.x through 7.16.x
7.17.x < 7.17.6
7.18.x < 7.18.4
7.19.x < 7.19.4
7.20.0
根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="ATLASSIAN-Bitbucket")共有 10,927 个相关服务对外开放。美国使用数量最多,共有 3,259 个;德国第二,共有 1,829 个;澳大利亚第三,共有 489 个;爱尔兰第四,共有 454 个;英国第五,共有 417 个。
全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)
中国大陆地区北京使用数量最多,共有 92 个;浙江第二,共有 62 个;广东第三,共有 51 个;上海第四,共有 45 个;山东第五,共有 17 个。
修复建议
请参考漏洞影响范围进行排查。目前官方已发布修复补丁,请查看官方消息进行修复:https://confluence.atlassian.com/security/multiple-products-security-advisory-hazelcast-vulnerable-to-remote-code-execution-cve-2016-10750-1116292387.html
参考
白帽汇安全研究院从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。
最新评论