Bitbucket серверинде (CVE-2022-36804) git репозиторийлери менен иштөө үчүн веб-интерфейсти жайылтуу пакети аныкталды, ал алыстан чабуулчуга жеке же жалпы репозиторийлерге окуу мүмкүнчүлүгү бар серверде каалаган кодду аткарууга мүмкүндүк берет аяктаган HTTP сурамын жөнөтүү менен. Маселе 6.10.17 версиясынан бери бар жана Bitbucket Server жана Bitbucket Маалымат борборунун 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2 жана 8.3.1 релиздеринде чечилген. Аяктуулук bitbucket.org булут кызматында көрүнбөйт, бирок алардын жайларында орнотулган продуктыларга гана таасирин тийгизет.
Алсыздык коопсуздук боюнча изилдөөчү тарабынан Bugcrowd Bug Bounty демилгесинин бир бөлүгү катары аныкталган, ал мурда белгисиз кемчиликтерди аныктоо үчүн сыйлыктарды берет. Сыйлык 6 миң долларды түздү. Чабуул ыкмасы жана эксплуатациянын прототиби тууралуу чоо-жайы патч жарыялангандан 30 күндөн кийин ачыкка чыгаары убада кылынган. Жамаатты колдонуудан мурун тутумуңузга кол салуу коркунучун азайтуу үчүн чара катары “feature.public.access=false” жөндөөсүн колдонуу менен репозиторийлерге жалпыга жеткиликтүүлүктү чектөө сунушталат.
Source: opennet.ru
