Vulnerabilità kritika (CVE-2022-36804) ġiet identifikata f'Bitbucket Server, pakkett għall-iskjerament ta' interface tal-web biex jaħdem ma' repożitorji git, li jippermetti lil attakkant remot b'aċċess għall-qari għal repożitorji privati jew pubbliċi biex jesegwixxi kodiċi arbitrarju fuq is-server. billi tibgħat it-talba HTTP mimlija. Il-kwistjoni ilha preżenti mill-verżjoni 6.10.17 u ġiet solvuta fir-rilaxxi Bitbucket Server u Bitbucket Data Center 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2, u 8.3.1. Il-vulnerabbiltà ma tidhirx fis-servizz cloud bitbucket.org, iżda taffettwa biss il-prodotti li huma installati fil-bini tagħhom.
Il-vulnerabbiltà ġiet identifikata minn riċerkatur tas-sigurtà bħala parti mill-inizjattiva Bugcrowd Bug Bounty, li tipprovdi premjijiet għall-identifikazzjoni ta 'vulnerabbiltajiet mhux magħrufa qabel. Il-premju kien jammonta għal 6 elf dollaru. Dettalji dwar il-metodu tal-attakk u l-prototip tal-isfruttament huma mwiegħda li jiġu żvelati 30 jum wara li tiġi ppubblikata l-garża. Bħala miżura biex jitnaqqas ir-riskju ta 'attakk fuq is-sistemi tiegħek qabel ma tapplika l-garża, huwa rakkomandat li tillimita l-aċċess pubbliku għar-repożitorji billi tuża l-issettjar "feature.public.access=false".
Sors: opennet.ru