V Bitbucket Server, paketu za namestitev spletnega vmesnika za delo z repozitoriji git, ki oddaljenemu napadalcu omogoča izvajanje kode na strežniku, je bila ugotovljena kritična ranljivost (CVE-2022-43781). Ranljivost lahko izkoristi neavtentificiran uporabnik, če je na strežniku omogočena samoregistracija (omogočena je nastavitev »Dovoli javno prijavo«). Upravljanje je možno tudi s strani overjenega uporabnika, ki ima pravice do spreminjanja uporabniškega imena (tj. pravice ADMIN ali SYS_ADMIN). Podrobnosti še niso podane, znano je le, da težavo povzroča možnost zamenjave ukazov prek spremenljivk okolja.
Težava se pojavlja v vejah 7.x in 8.x in je odpravljena v izdajah Bitbucket Server in Bitbucket Data Center 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5, 8.3.3 8.2.4, 7.6.19. Ranljivost se ne pojavi v storitvi v oblaku bitbucket.org, ampak vpliva samo na izdelke, ki so nameščeni v njihovih prostorih. Težava se prav tako ne pojavi na strežnikih Bitbucket Server in Data Center, ki za shranjevanje podatkov uporabljajo DBMS PostgreSQL.
Vir: opennet.ru