طرح Atlassian إصلاحات لخلل أمني خطير في خادم Bitbucket ومركز البيانات والذي قد يؤدي إلى تنفيذ تعليمات برمجية ضارة على عمليات التثبيت الضعيفة.
تم تتبع المشكلة على أنها CVE-2022-36804 (درجة CVSS: 9.9)، وقد تم وصف المشكلة بأنها ثغرة أمنية في إدخال الأوامر في نقاط نهاية متعددة يمكن استغلالها عبر طلبات HTTP المعدة خصيصًا.
قال Atlassian في تقرير استشاري: "يمكن للمهاجم الذي لديه حق الوصول إلى مستودع Bitbucket عام أو لديه أذونات قراءة لمستخدم خاص تنفيذ تعليمات برمجية عشوائية عن طريق إرسال طلب HTTP ضار".
يؤثر القصور الذي اكتشفه وأبلغ عنه الباحث الأمني TheGrandPew في جميع إصدارات Bitbucket Server و Datacenter التي تم إصدارها بعد 6.10.17، بما في ذلك 7.0.0 وأحدث:
- Bitbucket Server و Datacenter 7.6.2
- Bitbucket Server و Datacenter 7.17.1
- Bitbucket Server و Datacenter 7.21.1.1 تحديث
- Bitbucket Server و Datacenter 8.0
- Bitbucket Server و Datacenter 8.1
- Bitbucket Server و Datacenter 8.2
- Bitbucket Server و Datacenter 8.3
كحل مؤقت في السيناريوهات التي لا يمكن فيها تطبيق التصحيحات على الفور، يوصي Atlassian بإيقاف تشغيل المستودعات العامة باستخدام "feature.public.access = false" لمنع المستخدمين غير المصرح لهم من استغلال الخلل.
ونبهت إلى أنه "لا يمكن اعتبار هذا تخفيفًا كاملاً لأن المهاجم الذي يمتلك حساب مستخدم قد ينجح" ، مما يعني أنه يمكن الاستفادة منه من قبل الجهات الفاعلة في التهديد التي تمتلك بالفعل بيانات اعتماد صالحة تم الحصول عليها من خلال وسائل أخرى.
يوصى مستخدمو الإصدارات المتأثرة من البرنامج بترقية مثيلاتهم إلى أحدث إصدار في أقرب وقت ممكن لتقليل التهديدات المحتملة.