Ang usa ka kritikal nga kahuyangan (CVE-2022-36804) nahibal-an sa Bitbucket Server, usa ka pakete alang sa pag-deploy sa usa ka web interface alang sa pagtrabaho sa mga git repository, nga nagtugot sa usa ka hilit nga tig-atake nga adunay access sa pagbasa sa pribado o publiko nga mga repositoryo aron ipatuman ang arbitraryong code sa server. pinaagi sa pagpadala sa nahuman nga HTTP nga hangyo. Ang isyu anaa na sukad sa bersyon 6.10.17 ug nasulbad na sa Bitbucket Server ug Bitbucket Data Center nagpagawas sa 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2, ug 8.3.1. Ang pagkahuyang dili makita sa bitbucket.org cloud service, apan makaapekto lang sa mga produkto nga na-install sa ilang lugar.
Ang pagkahuyang giila sa usa ka tigdukiduki sa seguridad isip bahin sa inisyatibo sa Bugcrowd Bug Bounty, nga naghatag mga ganti alang sa pag-ila sa kaniadto wala mailhi nga mga kahuyangan. Ang ganti mikabat sa 6 ka libo ka dolyares. Ang mga detalye bahin sa pamaagi sa pag-atake ug ang pagpahimulos nga prototype gisaad nga ipadayag 30 ka adlaw pagkahuman na-publish ang patch. Isip usa ka sukod aron makunhuran ang risgo sa pag-atake sa imong mga sistema sa dili pa i-apply ang patch, girekomenda nga limitahan ang pag-access sa publiko sa mga repository gamit ang setting nga "feature.public.access=false".
Source: opennet.ru