பிட்பக்கெட் சேவையகத்தில் ஒரு முக்கியமான பாதிப்பு (CVE-2022-43781) கண்டறியப்பட்டுள்ளது, இது ஜிட் களஞ்சியங்களுடன் பணிபுரிய ஒரு வலை இடைமுகத்தை பயன்படுத்துவதற்கான ஒரு தொகுப்பாகும், இது ரிமோட் அட்டாக்கரை சர்வரில் குறியீடு செயல்படுத்தலை அடைய அனுமதிக்கிறது. சேவையகத்தில் சுய-பதிவு அனுமதிக்கப்பட்டால் ("பொது பதிவுபெற அனுமதி" அமைப்பு இயக்கப்பட்டிருந்தால்) பாதிப்பை அங்கீகரிக்கப்படாத பயனரால் பயன்படுத்திக் கொள்ள முடியும். பயனர்பெயரை (அதாவது, ADMIN அல்லது SYS_ADMIN உரிமைகள்) மாற்றும் உரிமை உள்ள அங்கீகரிக்கப்பட்ட பயனராலும் செயல்பாடு சாத்தியமாகும். இன்னும் விவரங்கள் எதுவும் வழங்கப்படவில்லை, சுற்றுச்சூழல் மாறிகள் மூலம் கட்டளை மாற்றும் சாத்தியத்தால் சிக்கல் ஏற்படுகிறது என்பது மட்டுமே அறியப்படுகிறது.
சிக்கல் 7.x மற்றும் 8.x கிளைகளில் தோன்றும், மேலும் பிட்பக்கெட் சர்வர் மற்றும் பிட்பக்கெட் டேட்டா சென்டர் வெளியீடுகளில் சரி செய்யப்பட்டது 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5, 8.3.3. 8.2.4, 7.6.19. பாதிப்பு bitbucket.org கிளவுட் சேவையில் தோன்றாது, ஆனால் அவற்றின் வளாகத்தில் நிறுவப்பட்ட தயாரிப்புகளை மட்டுமே பாதிக்கிறது. பிட்பக்கெட் சர்வர் மற்றும் டேட்டா சென்டர் சர்வர்களிலும் சிக்கல் தோன்றாது, அவை தரவைச் சேமிக்க PostgreSQL DBMS ஐப் பயன்படுத்துகின்றன.
ஆதாரம்: opennet.ru