Дар Bitbucket Server, як бастаи ҷойгиркунии интерфейси веб барои кор бо анборҳои Git, як осебпазирии муҳим (CVE-2022-36804) муайян карда шуд. Ин осебпазирӣ ба ҳамлагари дурдаст бо дастрасии хондан ба анборҳои хусусӣ ё оммавӣ имкон медиҳад, ки рамзи ихтиёриро дар сервер тавассути фиристодани дархости махсуси HTTP иҷро кунад. Мушкилот аз версияи 6.10.17 сар карда, дар Bitbucket Server ва Bitbucket Data Center нашрҳои 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2 ва 8.3.1 ислоҳ шудааст. Осебпазирӣ ба хидмати абрии bitbucket.org таъсир намерасонад, балки танҳо ба маҳсулоти дар маҳал мавҷудбуда таъсир мерасонад.
Ин осебпазирӣ аз ҷониби як пажӯҳишгари амниятӣ дар доираи ташаббуси Bugcrowd Bug Bounty, ки барои кашфи осебпазириҳои қаблан номаълум мукофот медиҳад, кашф карда шуд. Мукофот 6 долларро ташкил медод. Тафсилоти усули ҳамла ва эксплойти прототип ваъда дода мешавад, ки 30 рӯз пас аз нашри патч ошкор карда мешаванд. Барои кам кардани хатари ҳамла ба системаҳои шумо пеш аз татбиқи патч, тавсия дода мешавад, ки дастрасии оммавиро ба анборҳо бо истифода аз танзимоти "feature.public.access=false" маҳдуд кунед.
Манбаъ: opennet.ru
