В Atlassian Bitbucket Server и Data Center нашли критически | ITsec NEWS
В Atlassian Bitbucket Server и Data Center нашли критические уязвимости.
Уязвимость, отслеживаемая под идентификатором CVE-2022-36804, позволят хакеру произвести инъекцию команд в нескольких конечных точках. Брешь в защите могут использовать с помощью специально созданных HTTP-запросов.
Кроме того, в сообщении Atlassian говорится, что для успешной эксплуатации CVE-2022-36804 злоумышленник должен иметь доступ к публичному репозиторию Bitbucket или права на чтение частного репозитория
По словам ИБ-специалиста под никнеймом @TheGrandPew, уязвимость затрагивает все версии Bitbucket Server и Datacenter, выпущенные после 6.10.17, включая 7.0.0 и более новые.
Для уязвимости уже доступно исправление, но в случаях, где обновления нельзя применить немедленно, Atlassian рекомендует отключить публичные репозитории с помощью "feature.public.access=false", чтобы предотвратить использование уязвимости неавторизованными злоумышленниками.
Компания предупреждает, что такой обходной путь не полностью устраняет уязвимость, так как злоумышленник с учетной записью пользователя все еще может воспользоваться CVE-2022-36804.
Пользователям уязвимых версий рекомендуется как можно скорее обновить ПО до последней версии, чтобы снизить потенциальные риски.
#AtlassianBitbucketServer #DataCenter #Уязвимость
ITsec NEWS