Një dobësi kritike (CVE-2022-43781) është zbuluar në Bitbucket Server, një paketë për vendosjen e një ndërfaqeje web për të punuar me depot e Git. Kjo dobësi mund të lejojë një sulmues të largët të ekzekutojë kod në server. Dobësia mund të shfrytëzohet nga një përdorues i paautorizuar nëse vetë-regjistrimi është i aktivizuar në server (cilësimi "Lejo regjistrimin publik" është i aktivizuar). Mund të shfrytëzohet gjithashtu nga një përdorues i autentifikuar me leje për të ndryshuar emrin e përdoruesit (p.sh., privilegje ADMIN ose SYS_ADMIN). Detajet nuk janë ende të disponueshme, por dihet që problemi është shkaktuar nga zëvendësimi i komandës nëpërmjet variablave të mjedisit.
Problemi prek degët 7.x dhe 8.x dhe është rregulluar në versionet 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5, 8.3.3, 8.2.4, 7.6.19 të Bitbucket Server dhe Bitbucket Data Center. Dobësia nuk ndikon në shërbimin cloud bitbucket.org, por vetëm në produktet për instalim në vend. Problemi gjithashtu nuk ndikon. serverat Serveri dhe Qendra e të Dhënave Bitbucket, të cilat përdorin DBMS PostgreSQL për ruajtjen e të dhënave.
Burimi: opennet.ru
