Bitbucket serverida muhim zaiflik (CVE-2022-43781) aniqlandi, bu git repositoriyalari bilan ishlash uchun veb-interfeysni o'rnatish paketi bo'lib, bu masofaviy tajovuzkorga serverda kod bajarilishiga erishish imkonini beradi. Agar serverda oʻz-oʻzini roʻyxatdan oʻtkazishga ruxsat berilsa (“Ommaviy roʻyxatdan oʻtishga ruxsat berish” sozlamasi yoqilgan boʻlsa) zaiflikdan autentifikatsiya qilinmagan foydalanuvchi foydalanishi mumkin. Operatsiya foydalanuvchi nomini o'zgartirish huquqiga ega bo'lgan autentifikatsiya qilingan foydalanuvchi tomonidan ham mumkin (masalan, ADMIN yoki SYS_ADMIN huquqlari). Hali hech qanday ma'lumot berilmagan, ma'lumki, muammo atrof-muhit o'zgaruvchilari orqali buyruqlarni almashtirish imkoniyatidan kelib chiqadi.
Muammo 7.x va 8.x filiallarida paydo bo'ladi va Bitbucket Server va Bitbucket Data Center nashrlarining 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5, 8.3.3, 8.2.4. Zaiflik bitbucket.org bulut xizmatida ko'rinmaydi, faqat o'z binolarida o'rnatilgan mahsulotlarga ta'sir qiladi. Muammo, shuningdek, ma'lumotlarni saqlash uchun PostgreSQL DBMSdan foydalanadigan Bitbucket Server va Data Center serverlarida ham ko'rinmaydi.
Manba: opennet.ru