Уязвимость в Bitbucket Server, позволяющая выполнить код на сервере

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
27-Авг-2022 14:54

В Bitbucket Server, пакете для развёртывания web-интерфейса для работы с git-репозиториями, выявлена критическая уязвимость (CVE-2022-36804), позволяющая удалённому атакующему, имеющему доступ на чтение к приватным или публичным репозиториям, выполнить произвольный код на сервере через отправку специально оформленного HTTP-запроса. Проблема проявляется начиная с версии 6.10.17 и устранена в выпусках Bitbucket Server и Bitbucket Data Center 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2 и 8.3.1. Уязвимость не проявляется в облачном сервисе bitbucket.org, а затрагивает только продукты для установки на своих мощностях.
Уязвимость выявлена исследователем безопасности в рамках инициативы Bugcrowd Bug Bounty, подразумевающей выплату вознаграждений за выявление ранее не известных уязвимостей. Размер вознаграждения составил 6 тысяч долларов. Подробности о методе атаки и прототип эксплоита обещают раскрыть через 30 дней после публикации исправления. В качестве меры для снижения риска атаки на свои системы до применения исправления рекомендуется ограничить публичный доступ к репозиториям при помощи настройки "feature.public.access=false".
===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_bitbucket
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 24-Ноя 08:12
Часовой пояс: UTC + 5