Athari mbaya (CVE-2022-36804) imetambuliwa katika Seva ya Bitbucket, kifurushi cha kupeleka kiolesura cha wavuti kwa ajili ya kufanya kazi na hazina za git, ambayo huruhusu mshambuliaji wa mbali aliye na ufikiaji wa kusoma kwa hazina za kibinafsi au za umma kutekeleza nambari ya kiholela kwenye seva. kwa kutuma ombi lililokamilishwa la HTTP. Suala hilo limekuwepo tangu toleo la 6.10.17 na limetatuliwa katika Bitbucket Server na Kituo cha Data cha Bitbucket hutoa 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2, na 8.3.1. Athari hii haionekani katika huduma ya wingu ya bitbucket.org, lakini inathiri tu bidhaa ambazo zimesakinishwa kwenye majengo yao.
Athari hiyo ilitambuliwa na mtafiti wa usalama kama sehemu ya mpango wa Fadhila ya Bugcrowd Bug, ambao hutoa zawadi kwa kutambua udhaifu usiojulikana hapo awali. Zawadi hiyo ilifikia dola elfu 6. Maelezo kuhusu mbinu ya kushambulia na mfano wa unyonyaji yameahidiwa kufichuliwa siku 30 baada ya kiraka kuchapishwa. Kama hatua ya kupunguza hatari ya kushambuliwa kwa mifumo yako kabla ya kutumia kiraka, inashauriwa kupunguza ufikiaji wa umma kwa hazina kwa kutumia mpangilio wa "feature.public.access=false".
Chanzo: opennet.ru