פגיעות בשרת Bitbucket המובילה לביצוע קוד בשרת

זוהתה פגיעות קריטית (CVE-2022-43781) ב-Bitbucket Server, חבילה לפריסת ממשק אינטרנט לעבודה עם מאגרי git, המאפשרת לתוקף מרוחק להשיג ביצוע קוד בשרת. הפגיעות יכולה להיות מנוצלת על ידי משתמש לא מאומת אם רישום עצמי מותר בשרת (ההגדרה "אפשר הרשמה ציבורית" מופעלת). הפעלה אפשרית גם על ידי משתמש מאומת שיש לו זכויות לשנות את שם המשתמש (כלומר סמכות ADMIN או SYS_ADMIN). פרטים עדיין לא ניתנים, רק ידוע שהבעיה נגרמת מהאפשרות להחליף פקודות באמצעות משתני סביבה.

הבעיה מופיעה בסניפי 7.x ו-8.x, ותוקנה במהדורות Bitbucket Server ו- Bitbucket Data Center 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5 , 8.3.3, 8.2.4, 7.6.19. הפגיעות אינה מופיעה בשירות הענן bitbucket.org, אלא משפיעה רק על מוצרים להתקנה במתקנים שלהם. הבעיה גם לא מתרחשת בשרתי Bitbucket Server ו-Data Center המשתמשים ב-PostgreSQL לאחסון נתונים.

מקור: OpenNet.ru