Aithníodh leochaileacht chriticiúil (CVE-2022-43781) i Bitbucket Server, pacáiste chun comhéadan gréasáin a imscaradh chun oibriú le stórtha git, a ligeann d'ionsaitheoir iargúlta forghníomhú cód a bhaint amach ar an bhfreastalaí. Is féidir le húsáideoir neamhdheimhnithe leas a bhaint as an leochaileacht má cheadaítear féinchlárú ar an bhfreastalaí (tá an socrú “Ceadaigh síniú poiblí” cumasaithe). Féadfaidh úsáideoir fíordheimhnithe a bhfuil na cearta aige an t-ainm úsáideora a athrú (i.e. cearta ADMIN nó SYS_ADMIN) oibriú freisin. Níl aon sonraí curtha ar fáil go fóill, níl a fhios ach go bhfuil an fhadhb ann toisc go bhféadfaí orduithe a chur in ionad trí athróga timpeallachta.
Tá an cheist le feiceáil sna brainsí 7.x agus 8.x, agus tá sé socraithe sa Bitbucket Server agus Bitbucket Data Center eisiúintí 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5, 8.3.3, 8.2.4. Níl an leochaileacht le feiceáil sa tseirbhís scamall bitbucket.org, ach ní dhéanann sé difear ach do tháirgí atá suiteáilte ar a n-áitreabh. Ní fheictear an fhadhb freisin ar fhreastalaithe Bitbucket Server agus Ionad Sonraí, a úsáideann PostgreSQL DBMS chun sonraí a stóráil.
Foinse: oscailtenet.ru