Endnu en kritisk Atlassisk sårbarhed er blevet rapporteret i adskillige API-endepunkter i Bitbucket Server og Data Center. Den pågældende sårbarhed er CVE-2022-36804, et problem med kommandoindsprøjtning i version 7.0.0 af Bitbucket Server og Datacenter.
CVE-2022-36804: Atlassian Bitbucket-server og datacentersårbarhed
Ifølge den officielle rådgivende, alle Bitbucket-versioner frigivet efter 6.10.17, Herunder 7.0.0 og nyere, påvirkes. Med andre ord, alle forekomster, der kører nogen versioner imellem 7.0.0 og 8.3.0 inklusive er udsat for kommandoindsprøjtningsfejlen.
I tekniske termer, sårbarheden kan udnyttes af en trusselsaktør med adgang til et offentligt lager eller med læsetilladelser til en privat Bitbucket en. Det kritiske problem kan bruges i vilkårlige kodeudførelsesangreb initieret ved at sende en ondsindet HTTP-anmodning.
For at undgå de risici, der stammer fra CVE-2022-36804, Bitbucket-serverkunder bør opgradere deres instanser til en af de faste versioner. Hvis det af en eller anden grund ikke er muligt at opgradere i øjeblikket, en midlertidig afhjælpningsteknik er tilgængelig. Atlassian foreslår at deaktivere offentlige arkiver globalt ved at indstille feature.public.access=false.
Dette trin vil ændre den eksisterende angrebsvektor fra et uautoriseret til et autoriseret angreb. denne foranstaltning, dog, kan ikke betragtes som en fuldstændig afhjælpning. En trusselsaktør med en brugerkonto kunne stadig få succes med at udføre et angreb, Atlassian påpegede.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: