Kerentanan kritis (CVE-2022-43781) wis ditemokake ing Bitbucket Server, paket kanggo masang antarmuka web kanggo nggarap repositori Git. Kerentanan iki bisa ngidini panyerang remot nglakokake kode ing server. Kerentanan kasebut bisa dimanfaatake dening pangguna sing ora dikonfirmasi yen registrasi diri diaktifake ing server (setelan "Allow public signup" diaktifake). Iki uga bisa dimanfaatake dening pangguna sing wis dikonfirmasi kanthi ijin kanggo ngganti jeneng pangguna (yaiku, hak istimewa ADMIN utawa SYS_ADMIN). Rincian durung kasedhiya, nanging dingerteni manawa masalah kasebut disebabake dening substitusi perintah liwat variabel lingkungan.
Masalah iki mengaruhi cabang 7.x lan 8.x lan wis didandani ing Bitbucket Server lan rilis Bitbucket Data Center 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5, 8.3.3, 8.2.4, 7.6.19. Kerentanan iki ora mengaruhi layanan maya bitbucket.org, nanging mung produk kanggo instalasi on-premises. Masalah iki uga ora mengaruhi. server Server lan Pusat Data Bitbucket, sing nggunakake DBMS PostgreSQL kanggo panyimpenan data.
Source: opennet.ru
