በ Bitbucket Server ውስጥ ወሳኝ ተጋላጭነት (CVE-2022-36804) ተለይቷል፣ ከgit ማከማቻዎች ጋር ለመስራት የድር በይነገጽን ለማሰማራት የታቀፈ ጥቅል፣ ይህም የርቀት አጥቂ የግል ወይም የህዝብ ማከማቻዎችን የማንበብ መዳረሻ ያለው በአገልጋዩ ላይ የዘፈቀደ ኮድ እንዲፈጽም ያስችለዋል። የተጠናቀቀ HTTP ጥያቄ በመላክ. ችግሩ ከስሪት 6.10.17 ጀምሮ የነበረ ሲሆን በ Bitbucket Server እና Bitbucket Data Center 7.6.17፣ 7.17.10፣ 7.21.4፣ 8.0.3፣ 8.2.2 እና 8.3.1 ላይ ተፈትቷል። ተጋላጭነቱ በbitbucket.org የደመና አገልግሎት ላይ አይታይም፣ ነገር ግን በግቢያቸው ላይ የተጫኑ ምርቶችን ብቻ ነው የሚነካው።
ተጋላጭነቱ ቀደም ሲል ያልታወቁ ድክመቶችን ለመለየት ሽልማቶችን የሚሰጥ የBugcrowd Bug Bounty ተነሳሽነት አካል ሆኖ በደህንነት ተመራማሪ ተለይቷል። ሽልማቱ 6 ሺህ ዶላር ደርሷል። ስለ ጥቃቱ ዘዴ እና የብዝበዛው ፕሮቶታይፕ ዝርዝሮች ማጣበቂያው ከታተመ ከ 30 ቀናት በኋላ ለመገለጥ ቃል ተገብቷል። ፕላስተሩን ከመተግበሩ በፊት በእርስዎ ስርዓቶች ላይ የሚደርሰውን የጥቃት ስጋት ለመቀነስ እንደ መለኪያ፣ የ"feature.public.access=false" ቅንብርን በመጠቀም ወደ ማከማቻዎቹ ህዝባዊ መዳረሻን መገደብ ይመከራል።
ምንጭ: opennet.ru