Kerentanan kritis (CVE-2022-36804) wis diidentifikasi ing Bitbucket Server, paket kanggo nyebarake antarmuka web kanggo nggarap repositori git, sing ngidini penyerang remot kanthi akses maca menyang repositori pribadi utawa umum kanggo nglakokake kode sewenang-wenang ing server. kanthi ngirim panjalukan HTTP sing wis rampung. Masalah wis ana wiwit versi 6.10.17 lan wis ditanggulangi ing Bitbucket Server lan Bitbucket Data Center rilis 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2, lan 8.3.1. Kerentanan ora katon ing layanan maya bitbucket.org, nanging mung mengaruhi produk sing diinstal ing papan.
Kerentanan kasebut diidentifikasi dening peneliti keamanan minangka bagean saka inisiatif Bugcrowd Bug Bounty, sing menehi hadiah kanggo ngenali kerentanan sing durung dingerteni sadurunge. Ganjarane nganti 6 ewu dolar. Rincian babagan cara serangan lan prototipe eksploitasi dijanjekake bakal dicethakakΓ© 30 dina sawise patch diterbitake. Minangka langkah kanggo nyuda risiko serangan ing sistem sadurunge nglamar patch, disaranake kanggo matesi akses umum menyang repositori nggunakake setelan "feature.public.access=false".
Source: opennet.ru