V Bitbucket Server, paketu za postavitev spletnega vmesnika za delo z repozitoriji git, je bila ugotovljena kritična ranljivost (CVE-2022-36804), ki omogoča oddaljenemu napadalcu z bralnim dostopom do zasebnih ali javnih repozitorijev izvajanje poljubne kode na strežniku. s pošiljanjem izpolnjene zahteve HTTP. Težava je prisotna od različice 6.10.17 in je bila odpravljena v izdajah Bitbucket Server in Bitbucket Data Center 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2 in 8.3.1. Ranljivost se ne pojavi v oblačni storitvi bitbucket.org, ampak vpliva le na izdelke, ki so nameščeni v njihovih prostorih.
Ranljivost je odkril varnostni raziskovalec v okviru pobude Bugcrowd Bug Bounty, ki zagotavlja nagrade za odkrivanje prej neznanih ranljivosti. Nagrada je znašala 6 tisoč dolarjev. Podrobnosti o metodi napada in prototipu izkoriščanja naj bi bile razkrite 30 dni po objavi popravka. Kot ukrep za zmanjšanje tveganja napada na vaše sisteme pred uporabo popravka je priporočljivo omejiti javni dostop do repozitorijev z nastavitvijo »feature.public.access=false«.
Vir: opennet.ru