发布日期：2019-05-23
更新日期：2019-05-27

受影响系统：

Atlassian Bitbucket Server 6.1.1
Atlassian Bitbucket Server 6.1
Atlassian Bitbucket Server 6.0.2
Atlassian Bitbucket Server 6.0
Atlassian Bitbucket Server 5.16.2
Atlassian Bitbucket Server 5.16
Atlassian Bitbucket Server 5.15.2
Atlassian Bitbucket Server 5.15.1
Atlassian Bitbucket Server 5.15
Atlassian Bitbucket Server 5.14.3
Atlassian Bitbucket Server 5.14.2
Atlassian Bitbucket Server 5.14
Atlassian Bitbucket Server 5.13.5
Atlassian Bitbucket Server 5.13.4
Atlassian Bitbucket Server 5.13

不受影响系统：

Atlassian Bitbucket Server 6.1.2
Atlassian Bitbucket Server 6.0.3
Atlassian Bitbucket Server 5.16.3
Atlassian Bitbucket Server 5.15.3
Atlassian Bitbucket Server 5.14.4
Atlassian Bitbucket Server 5.13.6

描述：

---

BUGTRAQ  ID: 108447
CVE(CAN) ID: CVE-2019-3397

Atlassian Bitbucket Server是澳大利亚Atlassian公司的一款Git代码托管解决方案。该方案能够管理并审查代码，具有差异视图、JIRA集成和构建集成等功能。
Atlassian Bitbucket Server在数据中心迁移工具中存在路径遍历漏洞，允许经过身份验证的、具有管理员权限的远程攻击者将文件写入任意位置。这可能导致在运行受影响Atlassian Bitbucket Server版本的系统上执行远程代码。

<*来源：Atlassian
  
  链接：https://confluence.atlassian.com/bitbucketserver/bitbucket-data-center-path-traversal-in-the-migrati
*>

建议：

---

厂商补丁：

Atlassian
---------
Atlassian已经为此发布了一个安全公告（CVE-2019-3397）以及相应补丁:
CVE-2019-3397：Bitbucket Data Center - Path traversal in the migration tool RCE
链接：https://confluence.atlassian.com/bitbucketserver/bitbucket-data-center-path-traversal-in-the-migrati

补丁下载：

浏览次数：1872
严重程度：0（网友投票）