서버에서 코드 실행을 허용하는 Bitbucket 서버의 취약점

Git 저장소 작업을 위한 웹 인터페이스 배포 패키지인 Bitbucket Server에서 심각한 취약점(CVE-2022-36804)이 발견되었습니다. 이 취약점은 비공개 또는 공개 저장소에 대한 읽기 권한을 가진 원격 공격자가 특수하게 조작된 HTTP 요청을 전송하여 서버에서 임의 코드를 실행할 수 있도록 허용합니다. 이 문제는 버전 6.10.17부터 발생하며 Bitbucket Server 및 Bitbucket Data Center 릴리스 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2, 8.3.1에서 수정되었습니다. 이 취약점은 bitbucket.org 클라우드 서비스에는 영향을 미치지 않으며, 온프레미스 제품에만 영향을 미칩니다.

이 취약점은 이전에 알려지지 않은 취약점을 발견하면 보상을 제공하는 Bugcrowd 버그 바운티 이니셔티브의 일환으로 보안 연구원에 의해 발견되었습니다. 보상금은 6천 달러였습니다. 공격 방법과 악용 프로토타입에 대한 세부 사항은 수정판이 발표된 후 30일 이내에 공개될 예정입니다. 수정 사항을 적용하기 전에 시스템에 대한 공격 위험을 줄이기 위한 조치로 "feature.public.access=false" 설정을 사용하여 저장소에 대한 공개 액세스를 제한하는 것이 좋습니다.

출처 : opennet.ru