Git репозитортой ажиллах вэб интерфэйсийг ашиглах багц болох Bitbucket Server-д чухал эмзэг байдал (CVE-2022-43781) илэрсэн бөгөөд энэ нь алсаас халдагчид сервер дээр код гүйцэтгэх боломжийг олгодог. Сервер дээр өөрийгөө бүртгүүлэхийг зөвшөөрсөн тохиолдолд ("Нийтийн бүртгэлийг зөвшөөрөх" тохиргоог идэвхжүүлсэн) баталгаажаагүй хэрэглэгч энэ эмзэг байдлыг ашиглаж болно. Хэрэглэгчийн нэрийг өөрчлөх эрхтэй (жишээ нь, ADMIN эсвэл SYS_ADMIN эрх) баталгаажуулсан хэрэглэгч энэ үйлдлийг хийх боломжтой. Одоогоор дэлгэрэнгүй мэдээлэл өгөөгүй байгаа бөгөөд мэдэгдэж байгаа зүйл бол асуудал нь орчны хувьсагчаар тушаалыг орлуулах боломжоос үүдэлтэй юм.
Асуудал нь 7.x болон 8.x салбаруудад гарч байгаа бөгөөд Bitbucket сервер болон Bitbucket мэдээллийн төвийн 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5 хувилбаруудад засварлагдсан. 8.3.3, 8.2.4. Энэ эмзэг байдал нь bitbucket.org үүлэн үйлчилгээнд харагдахгүй бөгөөд зөвхөн өөрсдийн байранд суулгасан бүтээгдэхүүнүүдэд л нөлөөлнө. Мэдээлэл хадгалахын тулд PostgreSQL DBMS ашигладаг Bitbucket Server болон Data Center серверүүд дээр асуудал харагдахгүй байна.
Эх сурвалж: opennet.ru