Критична рањивост (ЦВЕ-2022-36804) је идентификована у Битбуцкет Серверу, пакету за примену веб интерфејса за рад са гит репозиторијумима, који омогућава удаљеном нападачу са приступом за читање приватним или јавним репозиторијумима да изврши произвољан код на серверу слањем завршеног ХТТП захтева. Проблем је присутан од верзије 6.10.17 и решен је у издањима Битбуцкет Сервер и Битбуцкет Дата Центер 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2 и 8.3.1. Рањивост се не појављује у сервису у облаку битбуцкет.орг, већ утиче само на производе који су инсталирани у њиховим просторијама.
Рањивост је идентификована од стране истраживача безбедности као део иницијативе Бугцровд Буг Боунти, која обезбеђује награде за идентификацију раније непознатих рањивости. Награда је износила 6 хиљада долара. Детаљи о методи напада и прототипу експлоатације ће бити откривени 30 дана након објављивања закрпе. Као мера за смањење ризика од напада на ваше системе пре него што примените закрпу, препоручује се да ограничите јавни приступ репозиторијумима користећи поставку „феатуре.публиц.аццесс=фалсе“.
Извор: опеннет.ру