Bitbucket Server — pakotnē tīmekļa saskarnes izvietošanai darbam ar git krātuvēm, kas ļauj attālam uzbrucējam panākt koda izpildi serverī, ir identificēta kritiska ievainojamība (CVE-2022-43781). Ievainojamību var izmantot neautentificēts lietotājs, ja serverī ir atļauta pašreģistrēšanās (ir iespējots iestatījums “Atļaut publisku pierakstīšanos”). Darbību var veikt arī autentificēts lietotājs, kuram ir tiesības mainīt lietotājvārdu (t.i., ADMIN vai SYS_ADMIN tiesības). Sīkāka informācija vēl nav sniegta, zināms ir tikai tas, ka problēmu izraisa komandu aizstāšanas iespēja, izmantojot vides mainīgos.
Problēma parādās 7.x un 8.x filiālēs, un tā ir novērsta Bitbucket Server un Bitbucket Data Center laidienos 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5, 8.3.3., 8.2.4. Ievainojamība neparādās bitbucket.org mākoņpakalpojumā, bet skar tikai produktus, kas ir instalēti to telpās. Problēma neparādās arī Bitbucket servera un datu centra serveros, kas datu glabāšanai izmanto PostgreSQL DBVS.
Avots: opennet.ru