Kritična ranjivost (CVE-2022-43781) je identifikovana u Bitbucket Serveru, paketu za implementaciju web interfejsa za rad sa git repozitorijumima, koji omogućava udaljenom napadaču da postigne izvršenje koda na serveru. Ranjivost može iskoristiti neautorizovani korisnik ako je samoregistracija dozvoljena na serveru (postavka „Dozvoli javnu registraciju“ je omogućena). Rad je također moguć od strane autentificiranog korisnika koji ima prava za promjenu korisničkog imena (tj. ADMIN ili SYS_ADMIN prava). Još uvijek nema detalja, zna se samo da je problem uzrokovan mogućnošću zamjene naredbi preko varijabli okruženja.
Problem se pojavljuje u granama 7.x i 8.x, a riješen je u izdanjima Bitbucket Server i Bitbucket Data Center 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5, 8.3.3, 8.2.4, 7.6.19. Ranjivost se ne pojavljuje u servisu u oblaku bitbucket.org, već utiče samo na proizvode koji su instalirani u njihovim prostorijama. Problem se također ne pojavljuje na serverima Bitbucket Server i Data Center, koji koriste PostgreSQL DBMS za pohranu podataka.
izvor: opennet.ru