一 漏洞概述

近日，Atlassian 官方发布了关于Atlassian Bitbucke漏洞公告，Atlassian Bitbucket Server和Atlassian Bitbucket Data Center中存在注入漏洞，允许攻击者向Git命令注入额外的参数，这可能导致远程命令执行。如果远程攻击者能够访问Bitbucket Server或Bitbucket Data Center中的Git存储库，则可以利用此参数注入漏洞。如果为项目或存储库启用了公共访问，则攻击者可以匿名利用此漏洞。

二 漏洞危害

允许攻击者向Git命令注入额外的参数，这可能导致远程命令执行。如果远程攻击者能够访问Bitbucket Server或Bitbucket Data Center中的Git存储库，则可以利用此参数注入漏洞。如果为项目或存储库启用了公共访问，则攻击者可以匿名利用此漏洞。

三 影响版本

version < 5.16.10

6.0.0 <= version < 6.0.10

6.1.0 <= version < 6.1.8

6.2.0 <= version < 6.2.6

6.3.0 <= version < 6.3.5

6.4.0 <= version < 6.4.3

6.5.0 <= version < 6.5.2

四 复现过程

无

五 影响范围

根据 ZoomEye 网络空间搜索引擎[1]对关键字 “Atlassian” 进行搜索，共得到 35 条 IP 历史记录，主要分布在中国、美国等国家。

六 修复建议

1、目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://jira.atlassian.com/browse/BSERV-11947

七 相关链接

ZoomEye 网络空间搜索引擎：Atlassianhttps://www.zoomeye.org/searchResult?q=Atlassian