Identificouse unha vulnerabilidade crítica (CVE-2022-36804) en Bitbucket Server, un paquete para despregar unha interface web para traballar con repositorios git, que permite que un atacante remoto con acceso de lectura a repositorios privados ou públicos execute código arbitrario no servidor. enviando a solicitude HTTP completada. O problema está presente desde a versión 6.10.17 e resolveuse nas versións 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2 e 8.3.1 de Bitbucket Server e Bitbucket Data Center. A vulnerabilidade non aparece no servizo na nube bitbucket.org, senón que afecta só aos produtos que están instalados nas súas instalacións.
A vulnerabilidade foi identificada por un investigador de seguridade como parte da iniciativa Bugcrowd Bug Bounty, que ofrece recompensas por identificar vulnerabilidades previamente descoñecidas. A recompensa ascendeu a 6 mil dólares. Os detalles sobre o método de ataque e o prototipo de explotación prometeranse revelar 30 días despois da publicación do parche. Como medida para reducir o risco dun ataque aos seus sistemas antes de aplicar o parche, recoméndase limitar o acceso público aos repositorios mediante a configuración "feature.public.access=false".
Fonte: opennet.ru