Қашықтағы шабуылдаушыға серверде кодтың орындалуына қол жеткізуге мүмкіндік беретін git репозиторийлерімен жұмыс істеуге арналған веб-интерфейсті орналастыру пакеті Bitbucket серверінде маңызды осалдық (CVE-2022-43781) анықталды. Серверде өзін-өзі тіркеуге рұқсат етілген болса, осалдықты аутентификацияланбаған пайдаланушы пайдалана алады («Жалпыға тіркелуге рұқсат беру» параметрі қосылған). Пайдаланушы атын өзгертуге құқығы бар (яғни, ADMIN немесе SYS_ADMIN құқықтары) бар аутентификацияланған пайдаланушы да жұмыс істей алады. Ешқандай егжей-тегжейлі ақпарат әлі берілген жоқ, бар болғаны мәселе орта айнымалылары арқылы командаларды ауыстыру мүмкіндігінен туындағаны белгілі.
Мәселе 7.x және 8.x тармақтарында пайда болады және Bitbucket серверінде және Bitbucket деректер орталығының 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5 шығарылымдарында түзетілген, 8.3.3, 8.2.4. Осалдық bitbucket.org бұлттық қызметінде пайда болмайды, бірақ тек олардың үй-жайларында орнатылған өнімдерге әсер етеді. Мәселе деректерді сақтау үшін PostgreSQL ДҚБЖ пайдаланатын Bitbucket сервері мен деректер орталығы серверлерінде де пайда болмайды.
Ақпарат көзі: opennet.ru