서버에서 코드 실행을 허용하는 Bitbucket 서버의 취약점

Git 리포지토리 작업을 위한 웹 인터페이스를 배포하기 위한 패키지인 Bitbucket Server에서 심각한 취약점(CVE-2022-36804)이 확인되었습니다. 이를 통해 개인 또는 공용 리포지토리에 대한 읽기 액세스 권한이 있는 원격 공격자가 서버에서 임의 코드를 실행할 수 있습니다. 완료된 HTTP 요청을 보내면 됩니다. 이 문제는 버전 6.10.17부터 발생했으며 Bitbucket Server 및 Bitbucket Data Center 릴리스 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2 및 8.3.1에서 해결되었습니다. 이 취약점은 bitbucket.org 클라우드 서비스에는 나타나지 않으며 해당 사이트에 설치된 제품에만 영향을 미칩니다.

이 취약점은 이전에 알려지지 않은 취약점을 식별한 대가로 보상을 제공하는 Bugcrowd Bug Bounty 이니셔티브의 일부로 보안 연구원에 의해 식별되었습니다. 보상금은 6 달러였습니다. 공격 방법과 익스플로잇 프로토타입에 대한 자세한 내용은 패치 공개 후 30일 후에 공개될 예정입니다. 패치를 적용하기 전에 시스템에 대한 공격 위험을 줄이기 위한 조치로 "feature.public.access=false" 설정을 사용하여 리포지토리에 대한 공개 액세스를 제한하는 것이 좋습니다.

출처 : opennet.ru