Критична ранливост (CVE-2022-43781) е идентификувана во Bitbucket Server, пакет за распоредување на веб-интерфејс за работа со git складишта, што му овозможува на далечинскиот напаѓач да постигне извршување на кодот на серверот. Ранливоста може да биде искористена од неавтентификуван корисник ако е дозволена саморегистрација на серверот (поставката „Дозволи јавна регистрација“ е овозможена). Операцијата е можна и од автентициран корисник кој има право да го промени корисничкото име (т.е. ADMIN или SYS_ADMIN авторитет). Детали се уште не се дадени, само се знае дека проблемот е предизвикан од можноста за замена на командите преку променливите на околината.
Проблемот се појавува во гранките 7.x и 8.x и е поправен во изданијата на Bitbucket Server и Bitbucket Data Center 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5 , 8.3.3, 8.2.4, 7.6.19. Ранливоста не се појавува во облак услугата bitbucket.org, туку влијае само на производите за инсталација на нивните објекти. Проблемот исто така не се појавува на серверите на Bitbucket Server и Data Center кои користат PostgreSQL за складирање податоци.
Извор: opennet.ru