Kritická zraniteľnosť (CVE-2022-43781) bola identifikovaná v Bitbucket Server, balíku na nasadenie webového rozhrania na prácu s git repozitármi, ktorý umožňuje vzdialenému útočníkovi dosiahnuť spustenie kódu na serveri. Zraniteľnosť môže zneužiť neoverený používateľ, ak je na serveri povolená samoregistrácia (je povolené nastavenie „Povoliť verejnú registráciu“). Obsluhu môže vykonávať aj overený používateľ, ktorý má práva na zmenu používateľského mena (t. j. práva ADMIN alebo SYS_ADMIN). Zatiaľ neboli poskytnuté žiadne podrobnosti, vie sa len to, že problém je spôsobený možnosťou nahradenia príkazov prostredníctvom premenných prostredia.
Problém sa vyskytuje vo vetvách 7.xa 8.x a je opravený vo vydaniach Bitbucket Server a Bitbucket Data Center 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5, 8.3.3, 8.2.4, 7.6.19. Zraniteľnosť sa nevyskytuje v cloudovej službe bitbucket.org, ale týka sa iba produktov, ktoré sú nainštalované v ich priestoroch. Problém sa nevyskytuje ani na serveroch Bitbucket Server a Data Center, ktoré na ukladanie údajov používajú PostgreSQL DBMS.
Zdroj: opennet.ru