Një cenueshmëri kritike (CVE-2022-43781) është identifikuar në Serverin Bitbucket, një paketë për vendosjen e një ndërfaqe në internet për të punuar me depot e git, e cila lejon një sulmues në distancë të arrijë ekzekutimin e kodit në server. Dobësia mund të shfrytëzohet nga një përdorues i paautentikuar nëse lejohet vetë-regjistrimi në server (cilësimi "Lejo regjistrimin publik" është i aktivizuar). Operacioni është gjithashtu i mundur nga një përdorues i vërtetuar i cili ka të drejtë të ndryshojë emrin e përdoruesit (d.m.th., të drejtat ADMIN ose SYS_ADMIN). Ende nuk janë dhënë detaje, gjithçka që dihet është se problemi është shkaktuar nga mundësia e zëvendësimit të komandave përmes variablave të mjedisit.
Problemi shfaqet në degët 7.x dhe 8.x dhe rregullohet në versionet e Serverit Bitbucket dhe të Qendrës së të Dhënave Bitbucket 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5, 8.3.3. 8.2.4, 7.6.19. Dobësia nuk shfaqet në shërbimin cloud të bitbucket.org, por prek vetëm produktet që janë instaluar në ambientet e tyre. Problemi gjithashtu nuk shfaqet në serverët Bitbucket Server dhe Data Center, të cilët përdorin PostgreSQL DBMS për të ruajtur të dhënat.
Burimi: opennet.ru