Eine Sicherheitsanfälligkeit in Bitbucket Server, die die Ausführung von Code auf dem Server ermöglicht.

In Bitbucket Server, einem Paket zur Bereitstellung einer Weboberfläche für die Arbeit mit Git-Repositorys, wurde eine kritische Sicherheitsanfälligkeit (CVE-2022-36804) entdeckt. Diese ermöglicht es einem entfernten Angreifer mit Leserechten auf private oder öffentliche Repositories, durch das Senden einer speziell gestalteten HTTP-Anfrage willkürlichen Code auf dem Server auszuführen. Das Problem tritt ab der Version 6.10.17 auf und wurde in den Versionen Bitbucket Server und Bitbucket Data Center 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2 und 8.3.1 behoben. Die Sicherheitsanfälligkeit tritt nicht im Cloud-Dienst bitbucket.org auf, sondern betrifft ausschließlich lokal installierte Produkte.

Die Sicherheitsanfälligkeit wurde von einem Sicherheitsexperten im Rahmen der Bugcrowd Bug Bounty-Initiative entdeckt, die Belohnungen für die Aufdeckung zuvor unbekannter Schwachstellen anbietet. Die Belohnung betrug 6.000 Dollar. Einzelheiten zur Angriffsmethode und ein Exploit-Prototyp sollen 30 Tage nach der Veröffentlichung des Patches veröffentlicht werden. Als Maßnahme zur Risikominderung vor der Anwendung des Patches wird empfohlen, den öffentlichen Zugriff auf Repositories durch die Einstellung "feature.public.access=false" einzuschränken.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster