బిట్బకెట్ సర్వర్లో క్లిష్టమైన దుర్బలత్వం (CVE-2022-43781) గుర్తించబడింది, ఇది git రిపోజిటరీలతో పని చేయడానికి వెబ్ ఇంటర్ఫేస్ని అమలు చేయడానికి ఒక ప్యాకేజీ, ఇది సర్వర్లో కోడ్ అమలును సాధించడానికి రిమోట్ దాడి చేసేవారిని అనుమతిస్తుంది. సర్వర్లో స్వీయ-నమోదు అనుమతించబడితే (“పబ్లిక్ సైన్అప్ని అనుమతించు” సెట్టింగ్ ప్రారంభించబడి ఉంటే) ఒక అనధికార వినియోగదారు ద్వారా దుర్బలత్వాన్ని ఉపయోగించుకోవచ్చు. వినియోగదారు పేరును (అంటే, ADMIN లేదా SYS_ADMIN హక్కులు) మార్చడానికి హక్కులు ఉన్న ప్రామాణీకరించబడిన వినియోగదారు ద్వారా కూడా ఆపరేషన్ సాధ్యమవుతుంది. ఇంకా వివరాలు అందించబడలేదు, పర్యావరణం వేరియబుల్స్ ద్వారా కమాండ్ ప్రత్యామ్నాయం యొక్క అవకాశం వల్ల సమస్య ఏర్పడిందని మాత్రమే తెలుసు.
సమస్య 7.x మరియు 8.x బ్రాంచ్లలో కనిపిస్తుంది మరియు బిట్బకెట్ సర్వర్లో పరిష్కరించబడింది మరియు బిట్బకెట్ డేటా సెంటర్ విడుదలలు 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5, 8.3.3. 8.2.4, 7.6.19. దుర్బలత్వం bitbucket.org క్లౌడ్ సేవలో కనిపించదు, కానీ వాటి ప్రాంగణంలో ఇన్స్టాల్ చేయబడిన ఉత్పత్తులను మాత్రమే ప్రభావితం చేస్తుంది. డేటాను నిల్వ చేయడానికి PostgreSQL DBMSని ఉపయోగించే బిట్బకెట్ సర్వర్ మరియు డేటా సెంటర్ సర్వర్లలో కూడా సమస్య కనిపించదు.
మూలం: opennet.ru