W Bitbucket Server, pakiecie wdrażającym interfejs sieciowy do pracy z repozytoriami git, wykryto krytyczną lukę (CVE-2022-36804), która umożliwia zdalnemu atakującemu z dostępem do odczytu repozytoriów prywatnych lub publicznych wykonanie dowolnego kodu na serwerze wysyłając wypełnione żądanie HTTP. Problem występuje od wersji 6.10.17 i został rozwiązany w wersjach Bitbucket Server i Bitbucket Data Center 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2 i 8.3.1. Luka nie występuje w usłudze chmurowej bitbucket.org, a dotyczy jedynie produktów zainstalowanych w jej siedzibie.
Luka została zidentyfikowana przez badacza bezpieczeństwa w ramach inicjatywy Bugcrowd Bug Bounty, która zapewnia nagrody za zidentyfikowanie nieznanych wcześniej luk. Nagroda wyniosła 6 tysięcy dolarów. Szczegóły dotyczące metody ataku i prototypu exploita zostaną ujawnione 30 dni po opublikowaniu łatki. W celu zmniejszenia ryzyka ataku na Twoje systemy przed zastosowaniem łatki zaleca się ograniczenie publicznego dostępu do repozytoriów za pomocą ustawienia „feature.public.access=false”.
Źródło: opennet.ru