【安全通报】Atlassian Bitbucket Data Center 远程代码执行漏洞（CVE-2022-26133）

近日，Atlassian发布安全公告，修复了一个存在于Atlassian Bitbucket Data Center中的代码执行漏洞，该漏洞POC已在互联网上公开，可能已被在野利用。

漏洞描述

Atlassian Bitbucket Data Center是Atlassian推出的一款现代化代码协作平台，支持代码审查、分支权限管理、CICD 等功能。

CVE-2022-26133

该漏洞是由于 Atlassian Bitbucket Data Center 中的 Hazelcast 接口未对用户输入数据进行有效过滤，导致存在反序列化漏洞而引起的。攻击者利用该漏洞构造并发送恶意数据可以远程执行任意代码。只有当 Atlassian Bitbucket Data Center 以 Cluster 模式安装时，才可能受该漏洞影响。

危害等级：严重

漏洞复现

白帽汇漏洞研究院已通过漏洞复现证明该漏洞存在。

CVE 编号

CVE-2022-26133

FOFA 查询

app="ATLASSIAN-Bitbucket"

影响范围

All 5.x versions >= 5.14.x

All 6.x versions

All 7.x versions < 7.6.14

All versions 7.7.x through 7.16.x

7.17.x < 7.17.6

7.18.x < 7.18.4

7.19.x < 7.19.4

7.20.0

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="ATLASSIAN-Bitbucket"）共有 10,927 个相关服务对外开放。美国使用数量最多，共有 3,259 个；德国第二，共有 1,829 个；澳大利亚第三，共有 489 个；爱尔兰第四，共有 454 个；英国第五，共有 417 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区北京使用数量最多，共有 92 个；浙江第二，共有 62 个；广东第三，共有 51 个；上海第四，共有 45 个；山东第五，共有 17 个。

修复建议

请参考漏洞影响范围进行排查。目前官方已发布修复补丁，请查看官方消息进行修复：https://confluence.atlassian.com/security/multiple-products-security-advisory-hazelcast-vulnerable-to-remote-code-execution-cve-2016-10750-1116292387.html

参考

[1] https://confluence.atlassian.com/security/multiple-products-security-advisory-hazelcast-vulnerable-to-remote-code-execution-cve-2016-10750-1116292387.html

白帽汇安全研究院从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。