Một lỗ hổng nghiêm trọng (CVE-2022-43781) đã được xác định trong Bitbucket Server, một gói triển khai giao diện web để làm việc với kho git, cho phép kẻ tấn công từ xa thực thi mã trên máy chủ. Lỗ hổng này có thể bị khai thác bởi người dùng chưa được xác thực nếu tính năng tự đăng ký được cho phép trên máy chủ (cài đặt “Cho phép đăng ký công khai” được bật). Người dùng được xác thực cũng có thể thực hiện thao tác này, người có quyền thay đổi tên người dùng (tức là quyền ADMIN hoặc SYS_ADMIN). Chưa có thông tin chi tiết nào được cung cấp, tất cả những gì được biết là vấn đề xảy ra do khả năng thay thế lệnh thông qua các biến môi trường.
Sự cố xuất hiện trong các nhánh 7.x và 8.x và được khắc phục trong Máy chủ Bitbucket và Trung tâm dữ liệu Bitbucket phát hành 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5, 8.3.3, 8.2.4. Lỗ hổng này không xuất hiện trong dịch vụ đám mây bitbucket.org mà chỉ ảnh hưởng đến các sản phẩm được cài đặt tại cơ sở của họ. Sự cố cũng không xuất hiện trên máy chủ Bitbucket Server và Data Center, những máy chủ sử dụng PostgreSQL DBMS để lưu trữ dữ liệu.
Nguồn: opennet.ru