Kerentanan kritis (CVE-2022-43781) telah diidentifikasi di Bitbucket Server, sebuah paket untuk menerapkan antarmuka web untuk bekerja dengan repositori git, yang memungkinkan penyerang jarak jauh mencapai eksekusi kode di server. Kerentanan dapat dieksploitasi oleh pengguna yang tidak diautentikasi jika pendaftaran mandiri diizinkan di server (pengaturan "Izinkan pendaftaran publik" diaktifkan). Pengoperasian juga dimungkinkan oleh pengguna terotentikasi yang memiliki hak untuk mengubah nama pengguna (yaitu otoritas ADMIN atau SYS_ADMIN). Detailnya belum diberikan, hanya diketahui bahwa masalahnya disebabkan oleh kemungkinan mengganti perintah melalui variabel lingkungan.
Masalah muncul di cabang 7.x dan 8.x, dan telah diperbaiki di Server Bitbucket dan Pusat Data Bitbucket merilis 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5 , 8.3.3, 8.2.4, 7.6.19. Kerentanan tidak muncul di layanan cloud bitbucket.org, tetapi hanya memengaruhi produk untuk dipasang di fasilitasnya. Masalah juga tidak terjadi pada server Bitbucket Server dan Pusat Data yang menggunakan PostgreSQL untuk penyimpanan data.
Sumber: opennet.ru