报告编号：B6-2020-011703

报告来源：360-CERT

报告作者：360-CERT

更新日期：2020-01-17

0x00 漏洞背景

2020年1月17日，360CERT监测到2020年1月15日Bitbucket官方发布了安全通告，其中包含三个远程代码执行漏洞，漏洞等级严重。

Bitbucket是ATLASSIAN公司提供的一个基于web的版本库托管服务，支持Mercurial和Git版本控制系统。此次安全通告公开了3个远程代码执行漏洞：

• CVE-2019-15010
• CVE-2019-20097
• CVE-2019-15012

攻击者可以通过构造特定的攻击载荷利用以上漏洞进行攻击，攻击利用成功时可以在受害者的Bitbucket服务器或数据中心上执行任意命令。

360CERT判断漏洞等级为高，危害面/影响面广。建议使用Bitbucket Server和Data Center的用户及时安装最新补丁，以免遭受黑客攻击。

0x01 漏洞详情

CVE-2019-15010

此漏洞影响从3.0.0开始的Bitbucket Server和Data Center产品。攻击者可以利用具有用户级别权限的账户构造恶意的攻击载荷作为用户输入进行远程攻击。成功利用时攻击者可以在受害者的Bitbucket Server或Data Center实例上执行任意命令。

CVE-2019-20097

此漏洞影响从1.0.0开始的Bitbucket Server和Data Center产品。当攻击者具有克隆文件并可以将文件推送到受害者Bitbucket Server和Data Center实例的权限时，通过将包含特制内容的文件推送到受害者实例上来利用此漏洞。成功利用时攻击者可以在受害者的Bitbucket Server或Data Center实例上执行任意命令。

CVE-2019-15012

此漏洞影响Bitbucket Server和Data Center高于或等于4.13的版本。当攻击者具有某个项目仓库的写权限时，可以通过在以写权限运行的Bitbucket Server和Data Center实例上写入任意文件。在某些情况下可能会造成远程代码执行，从而造成任意命令执行。

0x02 影响版本

0x03 修复建议

通用修补建议

1. 将Bitbucket Server或Data Center升级到最新版本（6.9.1），可以从官方网站下载最新版本：

   https://www.atlassian.com/software/bitbucket/download

2. 如无法升级到最新版本，可以根据现有版本升级到以下包含漏洞补丁的版本：

漏洞修复版本可以从此地址下载：

https://www.atlassian.com/software/bitbucket/download-archives

临时修复方案

如果无法立即升级Bitbucket Server和Data Center对于CVE-2019-15012，可以按照以下步骤禁用编辑文件功能：

在bitbucket.properties中，设置feature.file.editor=false

对于CVE-2019-15010或CVE-2019-20097没有已知的解决方法，因此请尽快升级版本。

0x04 时间线

2020-01-15 Bitbucket官方发布了安全通告

2020-01-17 360CERT发布预警

0x05 参考链接

1. https://confluence.atlassian.com/bitbucketserver/bitbucket-server-security-advisory-2020-01-15-985498238.html