Ahultasun kritiko bat (CVE-2022-43781) identifikatu da Bitbucket Server-en, git biltegiekin lan egiteko web interfazea zabaltzeko pakete batean, urruneko erasotzaile bati zerbitzarian kodea exekutatzeko aukera ematen diona. Ahultasuna autentifikatu gabeko erabiltzaile batek ustiatu dezake zerbitzarian autoerregistroa onartzen bada (Β«Baimendu erregistro publikoaΒ» ezarpena gaituta dago). Erabiltzaile-izena aldatzeko eskubideak dituen erabiltzaile autentifikatu batek ere funtziona dezake (hau da, ADMIN edo SYS_ADMIN eskubideak). Oraindik ez da xehetasunik eman, jakin dena da arazoa ingurune-aldagaien bidez komandoak ordezkatzeko aukerak sortzen duela.
Arazoa 7.x eta 8.x adarretan agertzen da, eta Bitbucket Server eta Bitbucket Data Center 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5 bertsioetan konponduta dago. 8.3.3, 8.2.4. Zaurgarritasuna ez da bitbucket.org hodeiko zerbitzuan agertzen, beren lokaletan instalatuta dauden produktuei bakarrik eragiten die. Arazoa ere ez da agertzen Bitbucket Server eta Data Center zerbitzarietan, PostgreSQL DBMS erabiltzen dutenak datuak gordetzeko.
Iturria: opennet.ru