וואַלנעראַביליטי אין ביטבוקקעט סערווירער לידינג צו קאָד דורכפירונג אויף די סערווער

א קריטיש וואַלנעראַביליטי (CVE-2022-43781) איז יידענאַפייד אין Bitbucket Server, אַ פּעקל פֿאַר דיפּלויינג אַ וועב צובינד פֿאַר ארבעטן מיט גיט ריפּאַזאַטאָריז, וואָס אַלאַוז אַ ווייַט אַטאַקער צו דערגרייכן קאָד דורכפירונג אויף די סערווער. די וואַלנעראַביליטי קענען זיין עקספּלויטאַד דורך אַ אַנאָטענטיקייטיד באַניצער אויב זיך-רעגיסטראַציע איז ערלויבט אויף די סערווער (די "אַלאַו ציבור סיגנופּ" באַשטעטיקן איז ענייבאַלד). אָפּעראַציע איז אויך מעגלעך דורך אַ אָטענטאַקייטאַד באַניצער וואס האט רעכט צו טוישן די נאמען (ד"ה ADMIN אָדער SYS_ADMIN רעכט). קיין דעטאַילס האָבן שוין צוגעשטעלט, אַלע וואָס איז באַוווסט איז אַז די פּראָבלעם איז געפֿירט דורך די מעגלעכקייט פון באַפֿעל סאַבסטיטושאַן דורך סוויווע וועריאַבאַלז.

די אַרויסגעבן איז ארויס אין די 7.x און 8.x צווייגן, און איז פאַרפעסטיקט אין די Bitbucket Server און Bitbucket Data Center ריליסיז 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5, 8.3.3, 8.2.4, 7.6.19. די וואַלנעראַביליטי קען נישט דערשייַנען אין די bitbucket.org וואָלקן דינסט, אָבער בלויז אַפעקץ פּראָדוקטן וואָס זענען אינסטאַלירן אויף זייער לאָקאַל. דער פּראָבלעם אויך קען נישט דערשייַנען אויף ביטבוקקעט סערווירער און דאַטאַ צענטער סערווערס, וואָס נוצן די PostgreSQL DBMS צו קראָם דאַטן.

מקור: opennet.ru