关键漏洞信息 漏洞编号: usd-2019-0016 CVE编号: CVE-2019-15005 受影响产品: Bitbucket 受影响版本: < v6.6 漏洞类型: Broken Access Control 安全风险: High 厂商URL: https://www.atlassian.com/ 厂商状态: Fixed 描述 访问控制,有时称为授权,是网络应用程序如何授予某些用户访问内容和功能而其他用户不能访问。这些检查在身份验证后执行,并管理哪些“授权”用户被允许执行操作。访问控制听起来像一个简单的问题,但要正确实现却非常棘手。Web应用程序的访问控制模型与站点提供的内容和功能密切相关。此外,用户可能会分成具有不同能力或权限的多个组或角色。 漏洞利用概念(PoC) 在一个端点 中,管理员可以创建一个用于定期扫描日志文件的任务。未授权用户无法访问配置此类任务的GUI。但是未授权用户可以成功发送请求以创建扫描任务。特别是,他们可以指定一个电子邮件地址,结果将发送到该地址。 修复建议 保护提供敏感功能的端点,并使用适当的访问控制。 时间线 2019-03-28 漏洞已安全提交给 security@atlassian.com 2019-08-27 Atlassian 发布 Bitbucket 6.6.0,修复该漏洞 2019-10-21 首次发布 责任归属 这些安全漏洞由 Tobias Neitzel 和 Julian Frey of usd AG 发现。