Kerentanan kritis (CVE-2022-36804) parantos diidentifikasi dina Bitbucket Server, pakét pikeun nyebarkeun antarmuka wéb pikeun damel sareng git repositories, anu ngamungkinkeun panyerang jauh kalayan aksés maca kana repositori pribadi atanapi umum pikeun ngaéksekusi kode sawenang dina server. ku ngirim pamundut HTTP réngsé. Masalahna parantos aya ti saprak versi 6.10.17 sareng parantos direngsekeun dina Bitbucket Server sareng Bitbucket Data Center ngaluarkeun 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2, sareng 8.3.1. Kerentanan henteu muncul dina layanan awan bitbucket.org, tapi ngan mangaruhan produk anu dipasang dina enggonna.
Kerentanan ieu diidentipikasi ku panaliti kaamanan salaku bagian tina inisiatif Bugcrowd Bug Bounty, anu nyayogikeun ganjaran pikeun ngaidentipikasi kerentanan anu teu dipikanyaho. Ganjaran jumlahna 6 rébu dolar. Rincian ngeunaan metode serangan sareng prototipe eksploitasi dijanjikeun bakal diungkabkeun 30 dinten saatos patch diterbitkeun. Salaku ukuran pikeun ngirangan résiko serangan dina sistem anjeun sateuacan nerapkeun patch, disarankeun pikeun ngawates aksés umum ka repositori nganggo setélan "feature.public.access=false".
sumber: opennet.ru
