Ang isang kritikal na kahinaan (CVE-2022-43781) ay natukoy sa Bitbucket Server, isang pakete para sa pag-deploy ng isang web interface para sa pagtatrabaho sa mga git repository, na nagpapahintulot sa isang malayuang umaatake na makamit ang pagpapatupad ng code sa server. Ang kahinaan ay maaaring samantalahin ng isang hindi napatotohanang user kung pinapayagan ang self-registration sa server (ang setting na "Pahintulutan ang pampublikong pag-signup" ay pinagana). Posible rin ang operasyon ng isang authenticated user na may mga karapatang baguhin ang username (ibig sabihin, mga karapatan ng ADMIN o SYS_ADMIN). Wala pang mga detalye na ibinigay, ang alam lang ay ang problema ay sanhi ng posibilidad ng pagpapalit ng command sa pamamagitan ng mga variable ng kapaligiran.
Lumilitaw ang isyu sa 7.x at 8.x na mga sangay, at naayos sa Bitbucket Server at ang Bitbucket Data Center ay naglabas ng 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5, 8.3.3. 8.2.4, 7.6.19. Ang kahinaan ay hindi lumalabas sa bitbucket.org cloud service, ngunit nakakaapekto lamang sa mga produktong naka-install sa kanilang lugar. Hindi rin lumalabas ang problema sa mga server ng Bitbucket Server at Data Center, na gumagamit ng PostgreSQL DBMS upang mag-imbak ng data.
Pinagmulan: opennet.ru