Bitbucket серверинде олуттуу аялуу (CVE-2022-43781) аныкталды, бул git репозиторийлери менен иштөө үчүн веб-интерфейсти жайылтуу пакети, ал алыстан чабуулчуга серверде коддун аткарылышын камсыз кылат. Эгерде серверде өзүн-өзү каттоого уруксат берилсе (“Коомдук катталууга уруксат берүү” жөндөөсү иштетилген) алсыздык аныктыгын текшерилбеген колдонуучу тарабынан пайдаланылышы мүмкүн. Колдонуучунун атын өзгөртүүгө укугу бар (б.а., ADMIN же SYS_ADMIN укуктары) аутентификацияланган колдонуучу да операция жасай алат. Азырынча эч кандай маалымат бериле элек, белгилүү болгон нерсе - бул көйгөй чөйрө өзгөрмөлөрү аркылуу команданы алмаштыруу мүмкүнчүлүгүнөн келип чыккан.
Маселе 7.x жана 8.x бутактарында пайда болуп, Bitbucket Server жана Bitbucket Data Center релиздеринде чечилет 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5, 8.3.3, 8.2.4. Аяктуулук bitbucket.org булут кызматында көрүнбөйт, бирок алардын жайларында орнотулган өнүмдөрүнө гана таасирин тийгизет. Көйгөй Bitbucket серверинде жана берилиштерди сактоо үчүн PostgreSQL DBMS колдонгон Data Center серверлеринде да пайда болбойт.
Source: opennet.ru