CVE-2022-26133 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Java 反序列化漏洞。 💥 **后果**：未经认证的远程攻击者发送特殊请求，可导致 **任意代码执行 (RCE)**。

🔍 **缺陷点**：`SharedSecretClusterAuthenticator` 组件。 📉 **CWE**：未信任数据的反序列化 (Deserialization of untrusted data)。

🏢 **产品**：Atlassian Bitbucket Data Center。 📦 **受影响版本**： • 5.14.x 及之后所有 5.x • 所有 6.x • 7.6.14 之前所有 7.x • 7.7.x 到 7.17.x (具体截止点依分支而定) • 7.18.x 至 7.18.3 • 7.19.x 至 7.19.3 • 7.20.0

👑 **权限**：远程、**无需认证**。 💻 **能力**：执行任意系统命令，完全控制服务器。

🚪 **门槛**：**极低**。 🔓 **认证**：**无需登录**，直接通过 HTTP 请求利用。

💣 **Exp**：有现成 PoC。 🔗 **来源**：GitHub 上已有多个批量验证和利用脚本 (如 Pear1y, 0xAbbarhSF 等)。

🔎 **自查**： 1. 检查 Bitbucket 版本是否在受影响列表。 2. 扫描 `SharedSecretClusterAuthenticator` 相关接口。 3. 使用提供的 Python 脚本进行批量验证。

🛡️ **补丁**：官方已发布修复。 📌 **参考**：Jira BSERV-13173 及安全公告。需升级至指定安全版本。

⚠️ **临时规避**： • 限制对 Bitbucket 端口的公网访问。 • 部署 WAF 拦截异常序列化请求。 • 尽快规划升级路径。

🔥 **优先级**：**紧急 (Critical)**。 💡 **建议**：无需认证即可 RCE，且 Exp 公开，建议 **立即** 升级或隔离。