华云安漏洞安全周报【第100期】

威胁等级：超危

漏洞描述：

2022年8月31日，华云安思境安全团队发现 Atlassian 官方发布安全更新，披露了 Bitbucket 组件中存在一处命令注入漏洞。Atlassian Bitbucket Server 是一款 Git 代码托管解决方案，该方案能够管理并审查代码，具有差异视图、JIRA 集成和构建集成等功能。该漏洞是于允许对公共或私有 Bitbucket 库有读取权限的远程攻击者通过发送恶意的HTTP请求从而执行任意代码攻击。

情报来源：

https://jira.atlassian.com/browse/BSERV-13438

威胁等级：超危

漏洞描述：

2022年8月31日，华云安思境安全团队发现 GitLab 官方发布安全更新，披露了 GitLab 组件中存在一处远程代码执行漏洞。GitLab 是一个用于仓库管理系统的开源项目，使用 Git 作为代码管理工具，可通过 Web 界面访问公开或私人项目。该漏洞是由于允许经过身份验证的攻击者通过从 GitHub API 端点导入来实现远程代码执行。

情报来源：

https://about.gitlab.com/releases/2022/08/30/critical-security-release-gitlab-15-3-2-released/#remote-command-execution-via-github-import

威胁等级：高危

漏洞描述：

2022年8月31日，华云安思境安全团队发现 GitLab 官方发布安全更新，披露了 GitLab 组件中存在一处远程代码执行漏洞。GitLab 是一个用于仓库管理系统的开源项目，使用 Git 作为代码管理工具，可通过 Web 界面访问公开或私人项目。该漏洞是是由于设置标签颜色功能的漏洞引起，成功利用此漏洞的攻击者可以在客户端代表受害者执行任意操作。

情报来源：

https://about.gitlab.com/releases/2022/08/30/critical-security-release-gitlab-15-3-2-released

威胁等级：超危

漏洞描述：

2022年8月31日，华云安思境安全团队发现 Apache 官方发布安全更新，披露了 Apache Geode 组件中存在一处反序列化漏洞。Apache Geode 是一套应用于分布式云架构中提供对数据密集型应用程序实时和一致访问数据的管理平台。该漏洞是由于在 Java 8 上通过 RMI 使用 JMX 时，存在不受信任的数据反序列化缺陷引起，成功李利用此漏洞的远程攻击者可造成远程代码执行攻击。

情报来源：

https://lists.apache.org/thread/qrvhmytsshsk5xcb68pwccw3y6m8o8nr

威胁等级：超危

漏洞描述：

2022年9月2日，华云安思境安全团队发现 Apache 官方发布安全更新，披露了 Apache OFBiz 组件中存在一处远程代码执行漏洞。Apache OFBiz是一套企业资源计划（ERP）系统，该系统提供了一整套基于 Java 的 Web 应用程序组件和工具。该漏洞是由于 Birt 存在错误触发，成功利用此漏洞的攻击者可以执行远程代码攻击。

情报来源：

https://lists.apache.org/thread/bvp3sczqq863lxr1wh7wjvdtjbkcwspq