பிட்பக்கெட் சேவையகத்தில் ஒரு முக்கியமான பாதிப்பு (CVE-2022-36804) அடையாளம் காணப்பட்டுள்ளது, இது ஜிட் களஞ்சியங்களுடன் பணிபுரிவதற்கான இணைய இடைமுகத்தை பயன்படுத்துவதற்கான ஒரு தொகுப்பாகும், இது தனியார் அல்லது பொது களஞ்சியங்களுக்கான வாசிப்பு அணுகலுடன் ரிமோட் தாக்குபவர் சேவையகத்தில் தன்னிச்சையான குறியீட்டை இயக்க அனுமதிக்கிறது. பூர்த்தி செய்யப்பட்ட HTTP கோரிக்கையை அனுப்புவதன் மூலம். பதிப்பு 6.10.17 முதல் சிக்கல் உள்ளது மற்றும் பிட்பக்கெட் சேவையகம் மற்றும் பிட்பக்கெட் தரவு மைய வெளியீடுகள் 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2 மற்றும் 8.3.1 ஆகியவற்றில் தீர்க்கப்பட்டது. பாதிப்பு bitbucket.org கிளவுட் சேவையில் தோன்றாது, ஆனால் அவற்றின் வளாகத்தில் நிறுவப்பட்ட தயாரிப்புகளை மட்டுமே பாதிக்கிறது.
Bugcrowd Bug Bounty முன்முயற்சியின் ஒரு பகுதியாக பாதுகாப்பு ஆராய்ச்சியாளரால் பாதிப்பு அடையாளம் காணப்பட்டது, இது முன்னர் அறியப்படாத பாதிப்புகளைக் கண்டறிவதற்கான வெகுமதிகளை வழங்குகிறது. வெகுமதி 6 ஆயிரம் டாலர்கள். தாக்குதல் முறை மற்றும் சுரண்டல் முன்மாதிரி பற்றிய விவரங்கள் பேட்ச் வெளியிடப்பட்ட 30 நாட்களுக்குப் பிறகு வெளிப்படுத்தப்படும் என்று உறுதியளிக்கப்பட்டுள்ளது. பேட்சைப் பயன்படுத்துவதற்கு முன் உங்கள் கணினிகள் மீதான தாக்குதலின் அபாயத்தைக் குறைப்பதற்கான ஒரு நடவடிக்கையாக, "feature.public.access=false" அமைப்பைப் பயன்படுத்தி களஞ்சியங்களுக்கான பொது அணுகலைக் கட்டுப்படுத்த பரிந்துரைக்கப்படுகிறது.
ஆதாரம்: opennet.ru