וואַלנעראַביליטי אין ביטבוקקעט סערווירער אַז אַלאַוז קאָד דורכפירונג אויף די סערווער

א קריטיש וואַלנעראַביליטי (CVE-2022-36804) איז יידענאַפייד אין Bitbucket Server, אַ פּעקל פֿאַר דיפּלויינג אַ וועב צובינד פֿאַר ארבעטן מיט גיט ריפּאַזאַטאָריז, וואָס אַלאַוז אַ ווייַט אַטאַקער מיט לייענען אַקסעס צו פּריוואַט אָדער עפנטלעך ריפּאַזאַטאָריז צו ויספירן אַרביטראַריש קאָד אויף די סערווער. דורך שיקט געענדיקט הטטפּ בעטן. די אַרויסגעבן איז געווען פאָרשטעלן זינט ווערסיע 6.10.17 און איז סאַלווד אין ביטבוקקעט סערווירער און ביטבוקקעט דאַטאַ צענטער ריליסיז 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2, און 8.3.1. די וואַלנעראַביליטי קען נישט דערשייַנען אין די bitbucket.org וואָלקן דינסט, אָבער בלויז אַפעקץ פּראָדוקטן וואָס זענען אינסטאַלירן אויף זייער לאָקאַל.

די וואַלנעראַביליטי איז געווען יידענאַפייד דורך אַ זיכערהייט פאָרשער ווי אַ טייל פון די Bugcrowd Bug Bounty איניציאטיוו, וואָס גיט ריוואָרדז פֿאַר ידענטיפיינג ביז אַהער אומבאַקאַנט וואַלנעראַביליטיז. די באַלוינונג איז געווען 6 טויזנט דאָללאַרס. דעטאַילס וועגן די באַפאַלן אופֿן און די פּראָוטאַטייפּ זענען צוגעזאגט צו זיין גילוי 30 טעג נאָך די לאַטע איז ארויס. ווי אַ מאָס צו רעדוצירן די ריזיקירן פון אַ באַפאַלן אויף דיין סיסטעמען איידער אַפּלייינג די לאַטע, עס איז רעקאַמענדיד צו באַגרענעצן ציבור אַקסעס צו די ריפּאַזאַטאָריז ניצן די "feature.public.access=false" באַשטעטיקן.

מקור: opennet.ru