Atlassian修補Bitbucket風險值9.9的指令注入漏洞

Atlassian上周公布安全更新，以修補位於CI/CD 管理平臺Bitbucket可能讓攻擊者遠端程式碼執行的重大漏洞。

Bitbucket是一Git儲存庫管理及CI/CD平臺，可以代管服務或本地部署方式提供。最新漏洞編號CVE-2022-36804，則是影響本地部署的Bitbucket Server及Data Center版本。它是一個指令注入漏洞，發生在這2項軟體的多項API端點，可讓具備公開儲存庫或讀取私有Bitbucket權限的攻擊者，藉由傳送惡意HTTP呼叫開採，並執行任意程式碼。Atlassian將該漏洞列為9.9。

這項漏洞是由代號@GrandPew的獨立研究人員於7月發現，他當時發現可經由這項漏洞達成本地檔案包含（local file inclusion）及遠端程式碼執行。他表示將在30天內公布概念驗證攻擊程式（Proof of Concept，PoC）。

受影響的產品為Bitbucket Server及Data Center 6.10.17以後版本，這表示執行在7.0.0及8.3.0之間的執行個體都受漏洞威脅。Atlassian已針對現在還支援的版本，包括7.17、7.21、7.6、8.0、8.1、8.2及8.3釋出新版本，呼籲用戶儘速升級。

此外，如果用戶配置了Bitbucket Mesh節點，即以Bitbucket Server或Data Center版本組成的分散式儲存架構，也應升級到最新相應版本。

Atlassian Cloud則不受影響。如果用戶是經由bitcucket.org網域存取Bitbucket服務，表示是由Atlassian代管，就不在這次漏洞威脅範圍之內。

若用戶暫時無法安裝修補版本，Atlassian建議用戶藉由設定feature.public.access=false關閉公開儲存庫降低風險，但仍建議用戶應儘速完成漏洞修補。