Дар Bitbucket Server як осебпазирии интиқодӣ (CVE-2022-43781) муайян карда шудааст, ки бастаи ҷойгиркунии веб-интерфейс барои кор бо анбори git мебошад, ки ба ҳамлагари дурдаст имкон медиҳад, ки иҷрои кодро дар сервер анҷом диҳад. Аз осебпазирӣ метавонад аз ҷониби корбари ношинос истифода шавад, агар ба худнависӣ дар сервер иҷозат дода шавад (танзими "Иҷозат ба қайди ҷамъиятӣ" фаъол аст). Амалиёт инчунин аз ҷониби корбари тасдиқшуда имконпазир аст, ки ҳуқуқи тағир додани номи корбарро дорад (яъне, ҳуқуқҳои ADMIN ё SYS_ADMIN). Ҳанӯз тафсилот дода нашудааст, танҳо он чизе ки маълум аст, ин аст, ки мушкилот бо имкони иваз кардани фармон тавассути тағирёбандаҳои муҳити зист ба вуҷуд омадааст.
Мушкилот дар шохаҳои 7.x ва 8.x пайдо мешавад ва дар сервери Bitbucket ва Маркази маълумотҳои Bitbucket 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5, 8.3.3, 8.2.4. Ин осебпазирӣ дар хидмати абрии bitbucket.org пайдо намешавад, балки танҳо ба маҳсулоте, ки дар биноҳои онҳо насб шудаанд, таъсир мерасонад. Мушкилот инчунин дар серверҳои Bitbucket ва Маркази додаҳо, ки барои нигоҳ доштани маълумот DBMS PostgreSQL истифода мебаранд, пайдо намешавад.
Манбаъ: opennet.ru