Bitbucket Serveris on tuvastatud kriitiline haavatavus (CVE-2022-43781), pakett git-hoidlatega töötamiseks mõeldud veebiliidese juurutamiseks, mis võimaldab kaugründajal saavutada serveris koodikäivituse. Autentseerimata kasutaja saab haavatavust ära kasutada, kui serveris on lubatud eneseregistreerimine (säte „Luba avalik registreerumine” on lubatud). Toimida saab ka autentitud kasutaja, kellel on õigus kasutajanime muuta (st ADMIN või SYS_ADMIN õigused). Üksikasju pole veel avaldatud, teada on vaid see, et probleemi põhjustab keskkonnamuutujate kaudu käskude asendamise võimalus.
Probleem ilmneb harudes 7.x ja 8.x ning see on lahendatud Bitbucket Serveri ja Bitbucket Data Centeri väljaannetes 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5, 8.3.3 8.2.4, 7.6.19. Haavatavus ei ilmu bitbucket.org pilveteenuses, vaid mõjutab ainult tooteid, mis on nende ruumidesse installitud. Probleem ei ilmne ka Bitbucketi serveri ja andmekeskuse serverites, mis kasutavad andmete salvestamiseks PostgreSQL DBMS-i.
Allikas: opennet.ru