Ahultasun kritiko bat (CVE-2022-36804) identifikatu da Bitbucket Server-en, git biltegiekin lan egiteko web interfaze bat zabaltzeko pakete bat, zeinak biltegi pribatu edo publikoetara irakurtzeko sarbidea duen urruneko erasotzaile bati zerbitzarian kode arbitrarioa exekutatzeko aukera ematen diona. amaitutako HTTP eskaera bidaliz. Arazoa 6.10.17 bertsiotik dago eta Bitbucket Server eta Bitbucket Data Center 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2 eta 8.3.1 bertsioetan konpondu da. Zaurgarritasuna ez da bitbucket.org hodeiko zerbitzuan agertzen, beren lokaletan instalatuta dauden produktuei bakarrik eragiten die.
Segurtasun ikertzaile batek ahultasuna identifikatu zuen Bugcrowd Bug Bounty ekimenaren baitan, lehen ezezagunak diren ahultasunak identifikatzeko sariak ematen dituena. Saria 6 mila dolar izan zen. Eraso metodoari eta ustiapen-prototipoari buruzko xehetasunak adabakia argitaratu eta 30 egun geroago ezagutaraziko direla agindu da. Adabakia aplikatu aurretik zure sistemen aurkako erasoak izateko arriskua murrizteko neurri gisa, gomendatzen da biltegietarako sarbide publikoa mugatzea "feature.public.access=false" ezarpena erabiliz.
Iturria: opennet.ru