Bitbucket Serverdə, git repozitoriyaları ilə işləmək üçün veb-interfeysin yerləşdirilməsi paketində kritik zəiflik (CVE-2022-36804) müəyyən edilib ki, bu da şəxsi və ya ictimai depolara oxumaq imkanı olan uzaqdan hücumçuya serverdə ixtiyari kodu icra etməyə imkan verir. tamamlanmış HTTP sorğusu göndərməklə. Problem 6.10.17 versiyasından bəri mövcuddur və Bitbucket Server və Bitbucket Data Center buraxılışlarının 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2 və 8.3.1-də həll edilmişdir. Boşluq bitbucket.org bulud xidmətində görünmür, ancaq onların binalarında quraşdırılmış məhsullara təsir göstərir.
Zəiflik təhlükəsizlik tədqiqatçısı tərəfindən əvvəllər naməlum zəiflikləri müəyyən etmək üçün mükafatlar təqdim edən Bugcrowd Bug Bounty təşəbbüsünün bir hissəsi kimi müəyyən edilib. Mükafat 6 min dollar təşkil edib. Hücum metodu və istismar prototipi haqqında təfərrüatların yamağın dərcindən 30 gün sonra açıqlanacağı vəd edilir. Yamağı tətbiq etməzdən əvvəl sistemlərinizə hücum riskini azaltmaq üçün tədbir olaraq “feature.public.access=false” parametrindən istifadə edərək depolara ictimai girişi məhdudlaşdırmaq tövsiyə olunur.
Mənbə: opennet.ru