In krityske kwetsberens (CVE-2022-36804) is identifisearre yn Bitbucket Server, in pakket foar it ynsetten fan in webynterface foar wurkjen mei git-repositories, wêrtroch in oanfaller op ôfstân mei lês tagong ta privee of publike repositories willekeurige koade op 'e tsjinner kin útfiere troch it ferstjoeren fan foltôge HTTP-fersyk. It probleem is oanwêzich sûnt ferzje 6.10.17 en is oplost yn Bitbucket Server en Bitbucket Data Center releases 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2, en 8.3.1. De kwetsberens ferskynt net yn 'e bitbucket.org-wolktsjinst, mar beynfloedet allinich produkten dy't op har terrein binne ynstalleare.
De kwetsberens waard identifisearre troch in feiligensûndersiker as ûnderdiel fan it Bugcrowd Bug Bounty-inisjatyf, dat beleanningen leveret foar it identifisearjen fan earder ûnbekende kwetsberens. De beleanning bedroech 6 tûzen dollar. Details oer de oanfalmetoade en it eksploitaasjeprototype wurde tasein 30 dagen nei't de patch is publisearre te iepenbierjen. As maatregel om it risiko fan in oanfal op jo systemen te ferminderjen foardat de patch tapast wurdt, wurdt it oanrikkemandearre om iepenbiere tagong ta de repositories te beheinen mei de ynstelling "feature.public.access=false".
Boarne: opennet.ru