Vulnerabbiltà kritika (CVE-2022-43781) ġiet identifikata f'Bitbucket Server, pakkett għall-iskjerament ta' interface tal-web biex jaħdem ma' repożitorji git, li jippermetti lil attakkant remot jikseb l-eżekuzzjoni tal-kodiċi fuq is-server. Il-vulnerabbiltà tista 'tiġi sfruttata minn utent mhux awtentikat jekk l-awtoreġistrazzjoni hija permessa fuq is-server (l-issettjar "Ħalli reġistrazzjoni pubblika" hija attivata). It-tħaddim huwa possibbli wkoll minn utent awtentikat li għandu drittijiet li jibdel l-isem tal-utent (jiġifieri, drittijiet ADMIN jew SYS_ADMIN). L-ebda dettalji għadhom ma ġew ipprovduti, dak kollu li hu magħruf huwa li l-problema hija kkawżata mill-possibbiltà ta 'sostituzzjoni tal-kmand permezz ta' varjabbli ambjentali.
Il-kwistjoni tidher fil-fergħat 7.x u 8.x, u hija ffissata fir-rilaxxi Bitbucket Server u Bitbucket Data Center 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5, 8.3.3, 8.2.4. Il-vulnerabbiltà ma tidhirx fis-servizz cloud bitbucket.org, iżda taffettwa biss il-prodotti li huma installati fil-bini tagħhom. Il-problema lanqas ma tidhirx fuq is-servers Bitbucket Server u Data Center, li jużaw il-PostgreSQL DBMS biex jaħżnu d-dejta.
Sors: opennet.ru