Identificouse unha vulnerabilidade crítica (CVE-2022-43781) en Bitbucket Server, un paquete para despregar unha interface web para traballar con repositorios git, que permite a un atacante remoto conseguir a execución de código no servidor. A vulnerabilidade pode ser explotada por un usuario non autenticado se se permite o rexistro automático no servidor (a opción "Permitir rexistro público" está activada). Tamén o pode operar un usuario autenticado que teña dereitos para cambiar o nome de usuario (é dicir, dereitos ADMIN ou SYS_ADMIN). Aínda non se proporcionaron detalles, o único que se sabe é que o problema está causado pola posibilidade de substitución de comandos a través de variables de ambiente.
O problema aparece nas ramas 7.x e 8.x, e solucionouse nas versións 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5 de Bitbucket Server e Bitbucket Data Center. 8.3.3, 8.2.4. A vulnerabilidade non aparece no servizo na nube bitbucket.org, senón que só afecta aos produtos que están instalados nas súas instalacións. O problema tampouco aparece nos servidores Bitbucket Server e Data Center, que usan o DBMS PostgreSQL para almacenar datos.
Fonte: opennet.ru