Misy vulnerability manan-danja (CVE-2022-36804) hita ao amin'ny Bitbucket Server, fonosana iray amin'ny fametrahana interface tsara amin'ny tranonkala hiasa amin'ny git repository, izay ahafahan'ny mpanafika lavitra manana fahafahana mamaky amin'ny tranokala tsy miankina na ho an'ny daholobe hanatanteraka fehezan-dalΓ na tsy misy dikany amin'ny mpizara. amin'ny fandefasana fangatahana HTTP efa vita. Ny olana dia efa nisy hatramin'ny version 6.10.17 ary voavaha tao amin'ny Bitbucket Server ary ny Bitbucket Data Center dia namoaka 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2, ary 8.3.1. Ny vulnerability dia tsy miseho amin'ny serivisy rahona bitbucket.org, fa misy fiantraikany amin'ny vokatra napetraka ao amin'ny toerana misy azy ihany.
Ny vulnerable dia nomarihin'ny mpikaroka momba ny fiarovana ho ampahany amin'ny hetsika Bugcrowd Bug Bounty, izay manome valisoa amin'ny famantarana ireo fahalemena tsy fantatra taloha. Nahatratra 6 arivo dolara ny valisoa. Ny antsipiriany momba ny fomba fanafihana sy ny prototype exploit dia nampanantenaina fa hambara 30 andro aorian'ny namoahana ny patch. Ho fepetra hampihenana ny mety hisian'ny fanafihana amin'ny rafitrao alohan'ny hampiharana ny patch, dia asaina mametra ny fidirana ho an'ny daholobe amin'ny tahiry amin'ny fampiasana ny "feature.public.access=false".
Source: opennet.ru