Git リポジトリを操作するための Web インターフェイスを展開するためのパッケージである Bitbucket Server で重大な脆弱性 (CVE-2022-43781) が特定されました。これにより、リモート攻撃者がサーバー上でコードを実行できるようになります。 サーバーで自己登録が許可されている (「パブリック サインアップを許可する」設定が有効になっている) 場合、この脆弱性は認証されていないユーザーによって悪用される可能性があります。 ユーザー名を変更する権限 (つまり、ADMIN または SYS_ADMIN 権限) を持つ認証済みユーザーでも操作が可能です。 詳細はまだ明らかにされていませんが、環境変数を介してコマンドを置き換える可能性によって問題が引き起こされることだけがわかっています。
この問題は 7.x および 8.x ブランチで発生し、Bitbucket Server および Bitbucket Data Center リリース 8.5.0、8.4.2、7.17.12、7.21.6、8.0.5、8.1.5 で修正されました。 、8.3.3、8.2.4、7.6.19。 この脆弱性は bitbucket.org クラウド サービスには現れませんが、施設にインストールされる製品にのみ影響します。 この問題は、データ ストレージに PostgreSQL を使用する Bitbucket Server および Data Center サーバーでも発生しません。
出所: オープンネット.ru