Bitbucket సర్వర్లో క్లిష్టమైన దుర్బలత్వం (CVE-2022-36804) గుర్తించబడింది, ఇది git రిపోజిటరీలతో పని చేయడానికి వెబ్ ఇంటర్ఫేస్ని అమలు చేయడానికి ఒక ప్యాకేజీ, ఇది ప్రైవేట్ లేదా పబ్లిక్ రిపోజిటరీలకు రీడ్ యాక్సెస్తో రిమోట్ అటాకర్ను సర్వర్లో ఏకపక్ష కోడ్ని అమలు చేయడానికి అనుమతిస్తుంది. పూర్తి చేసిన HTTP అభ్యర్థనను పంపడం ద్వారా. సమస్య వెర్షన్ 6.10.17 నుండి ఉంది మరియు బిట్బకెట్ సర్వర్ మరియు బిట్బకెట్ డేటా సెంటర్ విడుదలలు 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2 మరియు 8.3.1లో పరిష్కరించబడింది. దుర్బలత్వం bitbucket.org క్లౌడ్ సేవలో కనిపించదు, కానీ వాటి ప్రాంగణంలో ఇన్స్టాల్ చేయబడిన ఉత్పత్తులను మాత్రమే ప్రభావితం చేస్తుంది.
బగ్క్రౌడ్ బగ్ బౌంటీ చొరవలో భాగంగా భద్రతా పరిశోధకుడు ఈ దుర్బలత్వాన్ని గుర్తించారు, ఇది మునుపు తెలియని దుర్బలత్వాలను గుర్తించినందుకు రివార్డ్లను అందిస్తుంది. రివార్డు మొత్తం 6 వేల డాలర్లు. అటాక్ మెథడ్ మరియు ఎక్స్ప్లోయిట్ ప్రోటోటైప్ గురించిన వివరాలు ప్యాచ్ ప్రచురించబడిన 30 రోజుల తర్వాత వెల్లడిస్తానని హామీ ఇచ్చారు. ప్యాచ్ని వర్తింపజేయడానికి ముందు మీ సిస్టమ్లపై దాడి జరిగే ప్రమాదాన్ని తగ్గించే చర్యగా, “feature.public.access=false” సెట్టింగ్ని ఉపయోగించి రిపోజిటరీలకు పబ్లిక్ యాక్సెస్ను పరిమితం చేయాలని సిఫార్సు చేయబడింది.
మూలం: opennet.ru