Дар сервери Bitbucket осебпазирии муҳим (CVE-2022-36804) муайян карда шуд, ки бастаи ҷойгиркунии веб-интерфейс барои кор бо анбори git мебошад, ки ба ҳамлагари дурдаст бо дастрасии хондан ба анбори хусусӣ ё ҷамъиятӣ имкон медиҳад, ки коди худсарона дар сервер иҷро кунад. бо фиристодани дархости пуршудаи HTTP. Мушкилот аз версияи 6.10.17 вуҷуд дорад ва дар Bitbucket Server ва Bitbucket Center Data Center релизҳои 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2 ва 8.3.1 ҳал карда шудааст. Ин осебпазирӣ дар хидмати абрии bitbucket.org пайдо намешавад, балки танҳо ба маҳсулоте, ки дар биноҳои онҳо насб шудаанд, таъсир мерасонад.
Ин осебпазирӣ аз ҷониби як пажӯҳишгари амният ҳамчун як қисми ташаббуси Bugcrowd Bug Bounty муайян карда шудааст, ки барои муайян кардани осебпазириҳои қаблан номаълум мукофот медиҳад. Мукофот 6 ҳазор долларро ташкил дод. Тафсилот дар бораи усули ҳамла ва прототипи истисмор ваъда дода мешавад, ки 30 рӯз пас аз нашри патч ошкор карда шавад. Ҳамчун чораи коҳиш додани хатари ҳамла ба системаҳои шумо пеш аз татбиқи пач, тавсия дода мешавад, ки дастрасии ҷамъиятӣ ба анборҳо бо истифода аз танзимоти "feature.public.access=false" маҳдуд карда шавад.
Манбаъ: opennet.ru