众至科技漏洞通告 | Atlassian Crowd and Crowd Data Center 权限绕过漏洞;Bitbucket Server and Data Center 远程命令执行漏洞

最新推荐文章于 2024-08-17 22:51:53 发布
最新推荐文章于 2024-08-17 22:51:53 发布
阅读量742 收藏
点赞数
文章标签: 安全 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zz_tech/article/details/128109413
版权
本文通告了Atlassian Crowd和Crowd Data Center的权限绕过漏洞(CVE-2022-43782),以及Bitbucket Server和Data Center的远程命令执行漏洞。攻击者可能无需认证即可执行敏感操作,或利用环境变量进行命令注入。受影响的版本广泛,官方已发布安全更新,建议用户尽快升级到安全版本并关闭不必要的注册功能。
摘要由CSDN通过智能技术生成

【漏洞通告】Atlassian Crowd and Crowd Data Center 权限绕过漏洞

1.基础信息

CVE

CVE-2022-43782

等级

高危

类型

权限绕过

2.漏洞详情

最低0.47元/天 解锁文章
众至科技技术开放区
关注
Atlassian Crowd 未授权访问漏洞(详细版)
weixin_43061533的博客
12-15 2101
0x01 漏洞简述 Atlassian Crowd和Atlassian Crowd Data Center都是澳大利亚Atlassian公司的产品。Atlassian Crowd是一套基于Web的单点登录系统。该系统为用用户、网络应用程序和目录服务器提供验证、授权等功能。Atlassian Crowd Data Center是Crowd的集群部署版。Atlassian Crowd和Crowd Data Center在其某些发行版本中错误地启用了了pdkinstall开发插件,使其存在安全漏洞洞。攻击者利
Confluence、Jira、Bitbucket统一账户管理
niuniu0186的专栏
03-01 6055
在多个系统中,用一个账户能够登陆多个系统并具备角色授予的权限(所谓的单点登陆),无疑是最受人欢迎的,Atlassian软件家族可以通过多种方式来整合各系统的用户,常用的有: 1、通过统一使用外部数据库统一用户管理。 2、通过LDAP服务器进行统一用户管理。 3、通过微软活动目录统一用户管理。 4、通过Jira或Crowd的用户服务器来统一用户管理。 实际上还支持更多的
LINUX内核漏洞知多少?
最新发布
advdbgger的博客
08-17 839
Linux社区广泛流传着一条著名的林纳斯定律:“只要有足够多的眼睛,就可以让所有问题现形。”(Given enough eyeballs, all bugs are shallow)。凭借这个信念,林纳斯和很多内核开发者就是靠printk和眼睛来发现问题,解决问题,不用调试器,不用复杂工具。就这样,Linux内核走过10年,走过20年,走过30年,不断发展。但是最近两三年里,一个新的趋势开始挑战林...
Atlassian Bitbucket ServerData Center 命令注入漏洞
OSCS开源安全社区
08-26 835
Bitbucket ServerData Center 的多个 API 端点处存在命令注入漏洞。有权访问公共 Bitbucket 存储库或对私有存储库具有读取权限的攻击者可以通过发送恶意 HTTP 请求来执行任意代码。 建议将Atlassian Bitbucket ServerData Center升级到 7.0.0 或 7.6.17 或 7.17.10 或 7.21.4 或 8.0.3 或 8.1.3 或 8.2.2 或 8.3.1 或更高版本。...
Bitbucket Server and Data Center命令注入漏洞(CVE-2022-43781)
include_voidmain的博客
12-28 775
跟进看一下命令在哪里执行的以及环境变量用来干什么,在RemoteUserNioProcessConfigurer中的configure方法成功命中断点,这里发现已经传入了git命令,但是漏洞描述说的是使用用户名环境变量造成的注入,所以只需关注环境变量部分。这个函数是\com\atlassian\bitbucket\internal\-process\NioProcessParameters.java中新增的,其中调用的函数对key进行了非空判断,对key和valve都进行了空字节的检测。
未授权访问:Atlassian Crowd未授权访问漏洞
qq_68163788的博客
05-17 1172
Atlassian Crowd是一套基于Web的单点登录系统。该系统为多用户、网络应用程序和目录服务器提供验证、授权等功能。 Atlassian Crowd Data Center是Crowd的集群部署版。Atlassian Crowd和Crowd Data Center在其某些发行版本中错误地启用了pdkinstall开发插件,使其存在安全漏洞。 攻击者利用该漏洞可在未授权访问的情况下对Atlassian Crowd和Crowd Data Center安装任意的恶意插件,执行任意代码/命令
Altassian Crowd未授权访问漏洞
qq_68186313的博客
08-06 258
Atlassian Crowd和Atlassian Crowd Data Centeri都是澳大利亚Atlassian公司的产品。攻击者利用该漏洞可在未授权访问的情况下对Atlassian Crowd和Crowd Data Center安装任意的恶意插件,执行任意代码/命令,从而获得服务器权限。8、进入配置信息,无需修改,点击continue,点击continue,其中配置登录账号密码,点击continue,跳转到登录页面,输入刚才配置的账户密码,登录即可。Altassian Crowd未授权访问漏洞
standalone-atlassian-log-scanner:这是内置在Jira,Confluence,Bitbucket,Bamboo,Crowd和FisheyeCrucible中的Log Scanner(Hercules)的独立版本。 目的是大幅提高扫描速度
05-16
这是内置在Jira,Confluence,Bitbucket,Bamboo,Crowd和Fisheye / Cruceible中的Log Scanner(Hercules)的独立版本。 与通过Atlassian应用程序的界面执行扫描相比,该项目的目的是提高扫描速度。 它还通过以下...
Docker部署Atlassian全家桶所需SQL脚本
04-12
Docker部署Atlassian全家桶所需SQL脚本
Docker部署Atlassian套件的SQL脚本指南
"该资源提供的是在Docker环境中部署Atlassian产品家族(包括Jira、Confluence、Bamboo、Bitbucket和Crowd)所需的SQL脚本,主要用于创建数据库角色和数据库,设置权限。" 在Docker中部署Atlassian全家桶涉及到多个...
Aruba 修复EdgeConnect 中的严重RCE和认证绕过漏洞
smellycat000的专栏
10-13 659
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士摘要Aruba 发布EdgeConnect Enterprise Orchestrator 安全更新,修复了可导致远程攻击者攻陷主机的多个严重漏洞。Aruba EdgeConnect Orchestrator 是一款广泛使用的WAN管理解决方案,为企业用户提供优化、管理、自动化和实时可见性和监控特性服务。该产品中存在严重的可利用漏洞,为系统和网络...
[kernel exploit] linux 内核常规堆溢出漏洞的“胜利方程式“
热门推荐
Breeze的博客
05-20 1万+
[kernel exploit] linux 内核常规堆溢出漏洞的"胜利方程式" 文章目录[kernel exploit] linux 内核常规堆溢出漏洞的"胜利方程式"简介背景前置条件与技术漏洞利用准备msg队列布置溢出构造msg corrupt构造 MSG UAF泄露msg 地址 1泄露msg 地址 2msg UAFDirty Pipe初始化pipe篡改flag/ops 进行Dirty Pipe成功案例参考 简介 背景 对于内核中堆溢出的利用手段还是比较多的,在以前常规的堆类漏洞利用方法中,通常是想办法
Centos7服务器同步网络发现漏洞与修复手册(每周更新3次)
visket2008的专栏
10-18 2453
本文将长期更新基于centos7环境引起的操作系统、java、node、python等相关的漏洞修复解决方案。
CVE-2022-43781随便写写分析
2401_82670286的博客
01-29 921
Atlassian Bitbucket ServerAtlassian Bitbucket Data Center都是澳大利亚Atlassian公司的产品。Atlassian Bitbucket Server是一款Git代码托管解决方案。该方案能够管理并审查代码,具有差异视图、JIRA集成和构建集成等功能。Atlassian Bitbucket Data CenterAtlassian Bitbucket的数据中心版本。
高性能网络SIG月度动态:virtio新设备进入virtio规范、smc新特性IPC性能比tcp提升88% | 龙蜥SIG
weixin_60347558的博客
01-11 356
在云计算时代,软硬件高速发展,云原生、微服务等新的应用形态兴起,让更多的数据在进程之间流动,而网络则成为了这些数据流的载体,在整个云时代扮演者前所未有的重要角色。
无胁科技-TVD每日漏洞情报-2022-11-21
wuthreat无胁科技的博客
11-21 536
参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?漏洞编号:CVE-2022-42058;漏洞编号:CVE-2022-37197;
SourceTree跳过Bitbucket服务器或者Bitbucket登录的方法
pon的博客
03-19 6034
在安装sourcetree-3.3.8版本的时候,提示需要登录Bitbucket服务器或者Bitbucket账号,但是又不想登录或者想跳过怎么办呢,下面是本人亲自测试的解决办法,可行!!!分享出来 1. 关闭当前安装界面,新建accounts.json文件 在电脑系统盘中找到以下目录:C:\Users\Administrator\AppData\Local\Atlassian\SourceTree......
SourceTree安装跳过注册登录BITBUCKET步骤方法(更详细有用)
vvv3171071的博客
08-24 7202
公司电脑最近因为某些原因重装了,那么常用的软件也需要重装,其中之一就是SourceTree。 安装过程中有一步是需要登录BITBUCKET,要知道很多公司的办公环境是不允许访问外网的,那么我们应该如何跳过这一步骤呢? 百度搜到的结果几乎都只有第一步创建accounts.json文件,然而操作完后并不好使,重启软件依旧卡在登录界面。 而我这边执行完第二步后终于能跳过登录BITBUCKET的界面并可以正常使用了,接下来就从头分享这一系列的操作经验
CVE-2019-11580 Atlassian Crowd RCE漏洞复现
墙角睡大觉的专栏
07-27 2178
0X1 漏洞概述 Atlassian Crowd和Atlassian Crowd Data Center都是澳大利亚Atlassian公司的产品。Atlassian Crowd是一套基于Web的单点登录系统。该系统为多用户、网络应用程序和目录服务器提供验证、授权等功能。Atlassian Crowd Data Center是Crowd的集群部署版。 近日,研究人员发现Atlassian Crowd...
Meteor包zuzel-atlassian-crowd实现Atlassian Crowd集成
资源摘要信息: "zuzel-atlassian-crowd:用于 Atlassian Crowd 的 Meteor 包" 1. Meteor包介绍: Meteor是一个完整的开源平台,用于开发现代的Web和移动应用程序。它使用JavaScript作为其编程语言,提供了一套从...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值