Atlassian Bitbucket 6.9.x < 6.9.1 多個弱點

high Web App Scanning Plugin ID 113666

語系：

概要

說明

根據應用程式自我報告的版本號，遠端主機上執行的 Atlassian Bitbucket 應用程式版本低於 5.16.11，或為低於 6.0.11 的 6.0.x 版、低於 6.1.9 的 6.1.x 版、低於 6.2.7 的 6.2.x 版、低於 6.3.6 的 6.3.x 版、低於 6.4.4 的 6.4.x 版、低於 6.5.3 的 6.5.x 版、低於 6.6.3 的 6.6.x 版、低於 6.7.3 的 6.7.x 版、低於 6.8.2 的 6.8.x 版或低於 6.9.1 的 6.9.x 版。因此，會受到多個弱點影響。- 特定的使用者輸入欄位中存在遠端程式碼執行弱點。攻擊者可使用特製的承載作為使用者輸入，在目標 Bitbucket 執行個體上執行任意命令。- 透過 edit-file 要求造成的遠端程式碼執行弱點。如果使用者正在執行 Bitbucket Server 或 Bitbucket Data Center，且有權在該目的地寫入檔案，則對存放庫擁有寫入權限的遠端攻擊者可使用 edit-file 端點，在目標 Bitbucket 執行個體中寫入任何任意檔案。在某些情況下，這可導致目標 Bitbucket 伺服器受到任意程式碼執行攻擊。- 透過 post-receiv 勾點造成的遠端程式碼執行弱點。遠端攻擊者如果有權限複製和推送檔案至 bitbutcket 執行個體上的存放庫，則可使用包含特製內容的檔案，利用此弱點在目標 Bitbucket Server 上執行任意命令。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。