Atlassian, Bitbucket Sunucusu ve Veri Merkezi’nde, savunmasız kurulumlarda kötü amaçlı kodun yürütülmesine yol açabilecek kritik bir güvenlik açığı için düzeltmeler yayınladı.
olarak izlendi CVE-2022-36804 (CVSS puanı: 9.9), sorun, özel hazırlanmış HTTP istekleri aracılığıyla kullanılabilecek birden çok uç noktada bir komut enjeksiyon güvenlik açığı olarak nitelendirilmiştir.
Atlassian bir danışma belgesinde, “Genel bir Bitbucket deposuna erişimi olan veya özel bir depoya okuma izinleri olan bir saldırgan, kötü niyetli bir HTTP isteği göndererek rastgele kod yürütebilir.” Dedi.
Güvenlik araştırmacısı tarafından keşfedilen ve rapor edilen eksiklik @TheGrandPew 7.0.0 ve daha yeni sürümler dahil, 6.10.17’den sonra yayınlanan tüm Bitbucket Server ve Datacenter sürümlerini etkiler –
- Bitbucket Sunucusu ve Veri Merkezi 7.6
- Bitbucket Sunucusu ve Veri Merkezi 7.17
- Bitbucket Sunucusu ve Veri Merkezi 7.21
- Bitbucket Sunucusu ve Veri Merkezi 8.0
- Bitbucket Sunucusu ve Veri Merkezi 8.1
- Bitbucket Sunucusu ve Veri Merkezi 8.2 ve
- Bitbucket Sunucusu ve Veri Merkezi 8.3
Atlassian, yamaların hemen uygulanamadığı senaryolarda geçici bir çözüm olarak, yetkisiz kullanıcıların kusurdan yararlanmasını önlemek için “feature.public.access=false” kullanarak genel depoların kapatılmasını önermektedir.
“Bu, bir kullanıcı hesabına sahip bir saldırgan hala başarılı olabileceğinden, tam bir azaltma olarak kabul edilemez,” diye uyardı, yani başka yollarla elde edilmiş geçerli kimlik bilgilerine zaten sahip olan tehdit aktörleri tarafından kullanılabilir.
Yazılımın etkilenen sürümlerinin kullanıcılarının, olası tehditleri azaltmak için örneklerini mümkün olan en kısa sürede en son sürüme yükseltmeleri önerilir.