ወሳኝ ተጋላጭነት (CVE-2022-43781) በ Bitbucket Server ውስጥ ተለይቷል፣ ከጂት ማከማቻዎች ጋር ለመስራት የድር በይነገጽን ለማሰማራት ጥቅል፣ ይህም የርቀት አጥቂ በአገልጋዩ ላይ የኮድ አፈፃፀምን እንዲያገኝ ያስችለዋል። በአገልጋዩ ላይ ራስን መመዝገብ ከተፈቀደ ("ሕዝባዊ ምዝገባን ፍቀድ" ቅንብር ነቅቷል) ተጋላጭነቱ ባልተረጋገጠ ተጠቃሚ ሊበዘበዝ ይችላል። ክዋኔው በተረጋገጠ ተጠቃሚ የተጠቃሚ ስሙን የመቀየር መብት ባለው ተጠቃሚ ሊሆን ይችላል (ማለትም፣ ADMIN ወይም SYS_ADMIN መብቶች)። እስካሁን ምንም ዝርዝር ነገር አልተሰጠም፣ የሚታወቀው ችግሩ የተፈጠረው በአከባቢ ተለዋዋጮች ትእዛዝ በመተካት ነው።
ጉዳዩ በ 7.x እና 8.x ቅርንጫፎች ውስጥ ይታያል, እና በ Bitbucket Server እና Bitbucket Data Center ውስጥ ተስተካክሏል 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5, 8.3.3. 8.2.4, 7.6.19. ተጋላጭነቱ በbitbucket.org የደመና አገልግሎት ላይ አይታይም፣ ነገር ግን በግቢያቸው ላይ የተጫኑ ምርቶችን ብቻ ነው የሚነካው። ችግሩ በ Bitbucket አገልጋይ እና በዳታ ሴንተር አገልጋዮች ላይም አይታይም ይህም መረጃን ለማከማቸት PostgreSQL DBMS ይጠቀማሉ።
ምንጭ: opennet.ru