'n Kritieke kwesbaarheid (CVE-2022-43781) is geïdentifiseer in Bitbucket Server, 'n pakket vir die implementering van 'n webkoppelvlak om met git-bewaarplekke te werk, wat 'n afgeleë aanvaller toelaat om kode-uitvoering op die bediener te bewerkstellig. Die kwesbaarheid kan deur 'n ongeverifieerde gebruiker uitgebuit word as selfregistrasie op die bediener toegelaat word (die "Laat publieke aansluiting toe"-instelling is geaktiveer). Operasie is ook moontlik deur 'n geverifieerde gebruiker wat die regte het om die gebruikernaam te verander (d.w.s. ADMIN- of SYS_ADMIN-regte). Geen besonderhede is nog verskaf nie, al wat bekend is, is dat die probleem veroorsaak word deur die moontlikheid van opdragvervanging deur omgewingsveranderlikes.
Die probleem verskyn in die 7.x- en 8.x-takke, en word opgelos in die Bitbucket Server en Bitbucket Data Center-vrystellings 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5, 8.3.3. 8.2.4, 7.6.19. Die kwesbaarheid verskyn nie in die bitbucket.org-wolkdiens nie, maar raak slegs produkte wat op hul perseel geïnstalleer is. Die probleem verskyn ook nie op Bitbucket Server en Data Center-bedieners, wat die PostgreSQL DBMS gebruik om data te stoor nie.
Bron: opennet.ru