Ang usa ka kritikal nga kahuyangan (CVE-2022-43781) giila sa Bitbucket Server, usa ka pakete alang sa pag-deploy sa usa ka web interface alang sa pagtrabaho sa mga git repository, nga nagtugot sa usa ka hilit nga tig-atake nga makab-ot ang pagpatuman sa code sa server. Ang pagkahuyang mahimong mapahimuslan sa usa ka wala mapamatud-an nga tiggamit kung ang pagparehistro sa kaugalingon gitugotan sa server (ang setting nga "Allow public signup" gipaandar). Ang operasyon mahimo usab sa usa ka authenticated user nga adunay katungod sa pag-ilis sa username (ie, ADMIN o SYS_ADMIN katungod). Wala pa'y mga detalye nga gihatag, ang nahibal-an lang mao nga ang problema tungod sa posibilidad sa pagpuli sa mando pinaagi sa mga variable sa palibot.
Ang isyu makita sa 7.x ug 8.x nga mga sanga, ug gitakda sa Bitbucket Server ug Bitbucket Data Center nagpagawas sa 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5, 8.3.3. 8.2.4, 7.6.19. Ang pagkahuyang dili makita sa bitbucket.org cloud service, apan makaapekto lang sa mga produkto nga na-install sa ilang lugar. Ang problema dili usab makita sa Bitbucket Server ug Data Center server, nga naggamit sa PostgreSQL DBMS sa pagtipig sa datos.
Source: opennet.ru