Ua ʻike ʻia kahi nāwaliwali koʻikoʻi (CVE-2022-36804) ma Bitbucket Server, kahi pūʻolo no ka hoʻohana ʻana i kahi kikowaena pūnaewele no ka hana ʻana me nā waihona git, e hiki ai i kahi mea hoʻouka mamao me ka heluhelu ʻana i nā waihona pilikino a lehulehu paha e hoʻokō i nā code arbitrary ma ke kikowaena. ma ka hoʻouna ʻana i ka noi HTTP i hoʻopau ʻia. Aia ka pilikia mai ka mana 6.10.17 a ua hoʻoholo ʻia ma Bitbucket Server a me Bitbucket Data Center i hoʻokuʻu ʻia 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2, a me 8.3.1. ʻAʻole ʻike ʻia ka nāwaliwali ma ka lawelawe kapuaʻi bitbucket.org, akā pili wale i nā huahana i hoʻokomo ʻia ma ko lākou wahi.
Ua ʻike ʻia ka nāwaliwali e kahi mea noiʻi palekana ma ke ʻano he ʻāpana o ka Bugcrowd Bug Bounty initiative, e hāʻawi ana i nā uku no ka ʻike ʻana i nā nāwaliwali i ʻike ʻole ʻia. He 6 tausani dala ka uku. Hōʻike ʻia nā kikoʻī e pili ana i ke ʻano hoʻouka kaua a me ka prototype exploit e hōʻike ʻia i nā lā 30 ma hope o ka paʻi ʻia ʻana o ka patch. I mea e hōʻemi ai i ka hopena o ka hoʻouka ʻana i kāu mau ʻōnaehana ma mua o ka hoʻohana ʻana i ka patch, ua ʻōlelo ʻia e kaupalena i ke komo ʻana o ka lehulehu i nā waihona me ka hoʻohana ʻana i ka hoʻonohonoho "feature.public.access=false".
Source: opennet.ru