Kritična ranjivost (CVE-2022-36804) je identificirana u Bitbucket Serveru, paketu za implementaciju web sučelja za rad sa git repozitorijumima, koji omogućava udaljenom napadaču sa pristupom za čitanje privatnim ili javnim spremištima da izvrši proizvoljni kod na serveru slanjem dovršenog HTTP zahtjeva. Problem je prisutan od verzije 6.10.17 i riješen je u izdanjima Bitbucket Server i Bitbucket Data Center 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2 i 8.3.1. Ranjivost se ne pojavljuje u servisu u oblaku bitbucket.org, već utiče samo na proizvode koji su instalirani u njihovim prostorijama.
Ranjivost je identifikovana od strane istraživača bezbednosti kao deo inicijative Bugcrowd Bug Bounty, koja obezbeđuje nagrade za identifikaciju ranije nepoznatih ranjivosti. Nagrada je iznosila 6 hiljada dolara. Obećano je da će detalji o metodi napada i prototipu eksploatacije biti otkriveni 30 dana nakon objave zakrpe. Kao mjera za smanjenje rizika od napada na vaše sisteme prije primjene zakrpe, preporučuje se da ograničite javni pristup spremištima koristeći postavku “feature.public.access=false”.
izvor: opennet.ru