Një cenueshmëri kritike (CVE-2022-36804) është identifikuar në Serverin Bitbucket, një paketë për vendosjen e një ndërfaqe në internet për të punuar me depot git, e cila lejon një sulmues të largët me akses leximi në depo private ose publike për të ekzekutuar kodin arbitrar në server. duke dërguar kërkesën e përfunduar HTTP. Problemi ka qenë i pranishëm që nga versioni 6.10.17 dhe është zgjidhur në versionet 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2, 8.3.1 dhe XNUMX të Serverit Bitbucket dhe të Qendrës së të Dhënave Bitbucket. Dobësia nuk shfaqet në shërbimin cloud të bitbucket.org, por prek vetëm produktet që janë instaluar në ambientet e tyre.
Dobësia u identifikua nga një studiues sigurie si pjesë e nismës Bugcrowd Bug Bounty, e cila ofron shpërblime për identifikimin e dobësive të panjohura më parë. Shpërblimi arriti në 6 mijë dollarë. Detajet rreth metodës së sulmit dhe prototipit të shfrytëzimit janë premtuar të zbulohen 30 ditë pas publikimit të patch-it. Si masë për të reduktuar rrezikun e një sulmi në sistemet tuaja përpara se të aplikoni patch-in, rekomandohet të kufizoni aksesin publik në depo duke përdorur cilësimin "feature.public.access=false".
Burimi: opennet.ru