Bitbucket serverida muhim zaiflik (CVE-2022-36804) aniqlandi, bu git repositoriyalari bilan ishlash uchun veb-interfeysni o‘rnatish paketi bo‘lib, bu shaxsiy yoki umumiy omborlarga o‘qish huquqiga ega bo‘lgan masofaviy tajovuzkorga serverda o‘zboshimchalik bilan kodni amalga oshirish imkonini beradi. tugallangan HTTP so'rovini yuborish orqali. Muammo 6.10.17 versiyasidan beri mavjud va Bitbucket Server va Bitbucket Data Center 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2 va 8.3.1 versiyalarida hal qilindi. Zaiflik bitbucket.org bulut xizmatida ko'rinmaydi, faqat o'z binolarida o'rnatilgan mahsulotlarga ta'sir qiladi.
Zaiflik xavfsizlik bo‘yicha tadqiqotchi tomonidan Bugcrowd Bug Bounty tashabbusining bir qismi sifatida aniqlangan bo‘lib, u ilgari noma’lum bo‘lgan zaifliklarni aniqlash uchun mukofot beradi. Mukofot 6 ming dollarni tashkil etdi. Hujum usuli va ekspluatatsiya prototipi haqidagi tafsilotlar yamoq chop etilgandan keyin 30 kun o'tgach oshkor etilishi va'da qilingan. Yamoqni qo'llashdan oldin tizimlaringizga hujum qilish xavfini kamaytirish chorasi sifatida "feature.public.access=false" sozlamasidan foydalanib, omborlarga ommaviy kirishni cheklash tavsiya etiladi.
Manba: opennet.ru