一、漏洞详情

Bitbucket Server and Data Center 是 Atlassian 提供的Git存储库管理解决方案。

近日Atlassian发布安全公告，Atlassian Bitbucket Server and Data Center存在命令注入漏洞，该漏洞允许具有控制用户名权限的攻击者利用环境变量进行命令注入，从而实现系统命令执行。（若Atlassian Bitbucket Server and Data Center使用PostgreSQL作为数据库，则不受该漏洞影响。）

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

7.0 <= Bitbucket Server and Data Center <= 7.5

7.6.0 <= Bitbucket Server and Data Center <= 7.6.18

7.7 <= Bitbucket Server and Data Center <= 7.16

7.17.0 <= Bitbucket Server and Data Center <= 7.17.11

7.18 <= Bitbucket Server and Data Center <= 7.20

7.21.0 <= Bitbucket Server and Data Center <= 7.21.5

如果在bitbucket.properties中设置了mesh.enabled=false，则以下版本也受影响：

8.0.0 <= Bitbucket Server and Data Center <= 8.0.4

8.1.0 <= Bitbucket Server and Data Center <= 8.1.4

8.2.0 <= Bitbucket Server and Data Center <= 8.2.3

8.3.0 <= Bitbucket Server and Data Center <= 8.3.2

8.4.0 <= Bitbucket Server and Data Center <= 8.4.1

三、修复建议

目前Atlassian官方已发布安全版本修复上述漏洞，建议受影响的用户升级至安全版本。

下载链接：https://www.atlassian.com/software/bitbucket/download-archives