Red Hot Cyber

La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.

CVE-2022-36804

Consulta le ultime CVE critiche emesse
Questo è un servizio gratuito offerto da Red Hot Cyber alla comunità. Consente di consultare, in un’unica pagina, le informazioni relativa ad una singola CVE provenienti dal National Vulnerability Database (NVD) e del National Institute of Standards and Technology (NIST) degli Stati Uniti d’America, del Forum of Incident Response and Security Teams (FIRST) per quanto riguarda l’EPSS score e il percentile, i dati del catalogo KEV del Cybersecurity and Infrastructure Security Agency (CISA), oltre a risorse selezionate di Red Hot Cyber e altre fonti internazionali.

National Vulnerability Database Information

Descrizione: Multiple API endpoints in Atlassian Bitbucket Server and Data Center 7.0.0 before version 7.6.17, from version 7.7.0 before version 7.17.10, from version 7.18.0 before version 7.21.4, from version 8.0.0 before version 8.0.3, from version 8.1.0 before version 8.1.3, and from version 8.2.0 before version 8.2.2, and from version 8.3.0 before 8.3.1 allows remote attackers with read permissions to a public or private Bitbucket repository to execute arbitrary code by sending a malicious HTTP request. This vulnerability was reported via our Bug Bounty Program by TheGrandPew.

Base Score CVSS: 8.8 (v3.1)

Il **Base Score CVSS** è un punteggio da **0 a 10** che rappresenta la gravità intrinseca di una vulnerabilità. Un punteggio più alto indica una gravità maggiore.

Valore

0.02.55.07.510.0

Pubblicato il: 25/08/2022 06:15:09
Ultima modifica: 09/02/2025 20:50:44
NIST: Sorgente CVE dal National Vulnerability Database (NVD)

Metriche CVSS Dettagli

Base Severity: HIGH

Vector String: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Attack Vector: NETWORK
Attack Complexity: LOW

Privileges Required: LOW
User Interaction: NONE
Scope: UNCHANGED

Confidentiality Impact: HIGH
Integrity Impact: HIGH
Availability Impact: HIGH

FIRST information

EPSS Score: 0.9443

L'**EPSS (Exploit Prediction Scoring System)** è un punteggio da **0 a 1** che indica la **probabilità** che una vulnerabilità venga sfruttata nel mondo reale nei prossimi 30 giorni. Un valore più alto indica una maggiore probabilità di exploit.

Valore

0.00.250.50.751.0

Percentile: 0.9998

Il **Percentile** indica quanto il punteggio EPSS di questa vulnerabilità sia più alto rispetto a quello di tutte le altre vulnerabilità nel database EPSS. Ad esempio, un percentile di 0.90 (90%) significa che il 90% delle vulnerabilità ha un EPSS score uguale o inferiore a quello attuale.

Valore

0.00.250.50.751.0

*Dati aggiornati al: 2025-07-23

CISA Information (Known Exploited Vulnerabilities)

Il **CISA KEV Catalog** elenca le vulnerabilità che sono state **attivamente sfruttate nel mondo reale**. Se una CVE è presente in questo catalogo, indica che la minaccia è immediata e la mitigazione dovrebbe essere una priorità assoluta.

La CVE **CVE-2022-36804** **È PRESENTE** nel CISA KEV Catalog!

Nome della Vulnerabilità: Atlassian Bitbucket Server and Data Center Command Injection Vulnerability

Descrizione Breve: Multiple API endpoints of Atlassian Bitbucket Server and Data Center contain a command injection vulnerability where an attacker with access to a public Bitbucket repository, or with read permissions to a private one, can execute code by sending a malicious HTTP request.
Data Aggiunta al KEV: 30/09/2022
Vendor/Prodotto: Atlassian / Bitbucket Server and Data Center

Required Action: Apply updates per vendor instructions.
Due Date: 21/10/2022

Articoli pubblicati su Red Hot Cyber

Discovering IaB JohnDoe7: Access for sale from the common man

Alla scoperta dell'IaB JohnDoe7: accessi in vendita dall’uomo qualunque

Riferimenti NVD

https://jira.atlassian.com/browse/BSERV-13438

Exploit PoC da GitHub

notdls/CVE-2022-36804: A real exploit for BitBucket RCE CVE-2022-36804
benjaminhays/CVE-2022-36804-PoC-Exploit: Somewhat Reliable PoC Exploit for CVE-2022-36804 (BitBucket Critical Command Injection)

notxesh/CVE-2022-36804-PoC: Multithreaded exploit script for CVE-2022-36804 affecting BitBucket versions <8.3.1
ColdFusionX/CVE-2022-36804: Atlassian Bitbucket Server and Data Center - Command Injection Vulnerability (CVE-2022-36804)
SystemVll/CVE-2022-36804: A loader for bitbucket 2022 rce (cve-2022-36804)

Iscriviti alla nostra newsletter

Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.

Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006