Descubriuse unha vulnerabilidade crítica (CVE-2022-43781) en Bitbucket Server, un paquete para despregar unha interface web para traballar con repositorios Git. Esta vulnerabilidade podería permitir que un atacante remoto executase código no servidor. A vulnerabilidade pode ser explotada por un usuario non autenticado se o autorexistro está activado no servidor (a configuración "Permitir o rexistro público" está activada). Tamén podería ser explotada por un usuario autenticado con permisos para cambiar o nome de usuario (é dicir, privilexios ADMIN ou SYS_ADMIN). Os detalles aínda non están dispoñibles, pero sábese que o problema está causado pola substitución de comandos a través de variables de ambiente.
O problema afecta ás ramas 7.x e 8.x e está corrixido nas versións 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5, 8.3.3, 8.2.4 e 7.6.19 de Bitbucket Server e Bitbucket Data Center. A vulnerabilidade non afecta ao servizo na nube bitbucket.org, senón só aos produtos para a instalación local. O problema tampouco afecta. servidores Servidor e centro de datos Bitbucket, que empregan o SGBD PostgreSQL para o almacenamento de datos.
Fonte: opennet.ru
