Er is een kritieke kwetsbaarheid (CVE-2022-43781) geïdentificeerd in Bitbucket Server, een pakket voor het implementeren van een webinterface voor het werken met git-opslagplaatsen, waarmee een aanvaller op afstand code kan uitvoeren op de server. Het beveiligingslek kan worden misbruikt door een niet-geverifieerde gebruiker als zelfregistratie op de server is toegestaan (de instelling "Openbare aanmelding toestaan" is ingeschakeld). Bediening is ook mogelijk door een geauthenticeerde gebruiker die rechten heeft om de gebruikersnaam te wijzigen (dwz ADMIN of SYS_ADMIN autoriteit). Details worden nog niet gegeven, het is alleen bekend dat het probleem wordt veroorzaakt door de mogelijkheid om commando's te vervangen door omgevingsvariabelen.
Het probleem doet zich voor in de branches 7.x en 8.x en is opgelost in de Bitbucket Server- en Bitbucket Data Center-releases 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5 , 8.3.3, 8.2.4, 7.6.19. De kwetsbaarheid verschijnt niet in de bitbucket.org-cloudservice, maar is alleen van invloed op producten die op hun faciliteiten moeten worden geïnstalleerd. Het probleem doet zich ook niet voor op Bitbucket Server- en Data Center-servers die PostgreSQL gebruiken voor gegevensopslag.
Bron: opennet.ru