Ailagbara to ṣe pataki (CVE-2022-36804) ti ṣe idanimọ ni Bitbucket Server, package kan fun fifiranṣẹ ni wiwo wẹẹbu kan fun ṣiṣẹ pẹlu awọn ibi ipamọ git, eyiti o fun laaye ikọlu latọna jijin pẹlu iwọle kika si ikọkọ tabi awọn ibi ipamọ ti gbogbo eniyan lati ṣiṣẹ koodu lainidii lori olupin naa. nipa fifiranṣẹ ibeere HTTP ti o pari. Ọrọ naa ti wa lati ẹya 6.10.17 ati pe a ti yanju ni Bitbucket Server ati Bitbucket Data Center tu 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2, ati 8.3.1 jade. Ailagbara naa ko han ninu iṣẹ awọsanma bitbucket.org, ṣugbọn nikan ni ipa lori awọn ọja ti o ti fi sii lori agbegbe wọn.
Ailagbara naa jẹ idanimọ nipasẹ oniwadi aabo gẹgẹbi apakan ti ipilẹṣẹ Bugcrowd Bug Bounty, eyiti o pese awọn ere fun idamo awọn ailagbara aimọ tẹlẹ. Awọn ere amounted si 6 ẹgbẹrun dọla. Awọn alaye nipa ọna ikọlu ati afọwọṣe ilokulo ti ṣe ileri lati ṣafihan ni ọjọ 30 lẹhin ti a ti gbejade alemo naa. Gẹgẹbi odiwọn lati dinku eewu ikọlu lori awọn eto rẹ ṣaaju lilo alemo naa, a gba ọ niyanju lati fi opin si iraye si gbogbo eniyan si awọn ibi ipamọ nipa lilo eto “feature.public.access=false”.
orisun: opennet.ru