Eng kritesch Schwachstelle (CVE-2022-36804) gouf am Bitbucket Server identifizéiert, e Package fir e Webinterface z'installéieren fir mat Git Repositories ze schaffen, wat e Remote Attacker mat Lieszugriff zu privaten oder ëffentleche Repositories erlaabt arbiträr Code um Server auszeféieren. andeems Dir ofgeschloss HTTP-Ufro schéckt. D'Thema ass zënter Versioun 6.10.17 präsent a gouf am Bitbucket Server an Bitbucket Data Center Releases 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2, an 8.3.1 geléist. D'Vulnerabilitéit erschéngt net am Bitbucket.org Cloud Service, awer beaflosst nëmmen Produkter déi op hire Raimlechkeeten installéiert sinn.
D'Vulnerabilitéit gouf vun engem Sécherheetsfuerscher als Deel vun der Bugcrowd Bug Bounty Initiativ identifizéiert, déi Belounungen ubitt fir virdrun onbekannte Schwachstelle z'identifizéieren. D'Belounung war 6 dausend Dollar. Detailer iwwer d'Attackmethod an den Exploit Prototyp sinn versprach ginn 30 Deeg no der Verëffentlechung vum Patch. Als Moossnam fir de Risiko vun engem Attack op Är Systemer ze reduzéieren ier Dir de Patch applizéiert, ass et recommandéiert den ëffentlechen Zougang zu de Repositories mat der "feature.public.access=false" Astellung ze limitéieren.
Source: opennet.ru