当前位置:首页 > 漏洞预警 > 正文

BitBucket参数注入漏洞(CVE-2019-15000)预警

发布时间:2019-09-23 10:09:25,来源:中国信息通信研究院

      一、基本情况

Atlassian Bitbucket Server和Atlassian Bitbucket Data Center中存在参数注入漏洞,CVE编号: CVE-2019-15000。攻击者利用该漏洞向Git命令注入额外的参数,便可导致远程命令执行。

      二、攻击原理

Atlassian Bitbucket Server和Atlassian Bitbucket Data Center都是澳大利亚Atlassian公司的产品。Atlassian Bitbucket Server是一款Git代码托管解决方案。该方案能够管理并审查代码,具有差异视图、JIRA集成和构建集成等功能。Atlassian Bitbucket Data Center是Atlassian Bitbucket的数据中心版本。

Atlassian 官方发布了关于Atlassian Bitbucke漏洞公告,Atlassian Bitbucket Server和Atlassian Bitbucket Data Center中存在注入漏洞,允许攻击者向Git命令注入额外的参数,这可能导致远程命令执行。如果远程攻击者能够访问Bitbucket Server或Bitbucket Data Center中的Git存储库,则可以利用此参数注入漏洞。如果为项目或存储库启用了公共访问,则攻击者可以匿名利用此漏洞。

      三、影响范围

受影响版本:

1)version < 5.16.10

2)6.0.0 <= version < 6.0.10

3)6.1.0 <= version < 6.1.8

4)6.2.0 <= version < 6.2.6

5)6.3.0 <= version < 6.3.5

6)6.4.0 <= version < 6.4.3

7)6.5.0 <= version < 6.5.2

      四、处置建议

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://jira.atlassian.com/browse/BSERV-11947

      五、参考链接  

1)https://jira.atlassian.com/browse/BSERV-11947

2)https://confluence.atlassian.com/bitbucketserver/bitbucket-server-security-advisory-2019-09-18-976762635.html