Ein weiterer kritischer Atlassian-Schwachstelle wurde in zahlreichen API-Endpunkten von Bitbucket Server und Data Center gemeldet. Die fragliche Schwachstelle ist CVE-2022-36804, ein Command-Injection-Problem in Version 7.0.0 von Bitbucket Server und Rechenzentrum.
CVE-2022-36804: Atlassian Bitbucket Server und Rechenzentrums-Schwachstelle
Nach den offiziellen Beratungs, alle danach veröffentlichten Bitbucket-Versionen 6.10.17, Inklusive 7.0.0 und neuere, sind betroffen. Mit anderen Worten, alle Instanzen, auf denen alle Versionen dazwischen ausgeführt werden 7.0.0 und 8.3.0 einschließlich sind dem Befehlsinjektionsfehler ausgesetzt.
In technischer Hinsicht, Die Schwachstelle kann von einem Angreifer mit Zugriff auf ein öffentliches Repository oder mit Leseberechtigungen auf ein privates Bitbucket-Repository ausgenutzt werden. Das kritische Problem kann in Angriffen zur Ausführung willkürlichen Codes verwendet werden, die durch das Senden einer böswilligen HTTP-Anforderung initiiert werden.
Um die Risiken zu vermeiden, die sich aus CVE-2022-36804 ergeben, Kunden von Bitbucket-Servern sollten ihre Instanzen auf eine der festen Versionen aktualisieren. Wenn aus irgendeinem Grund ein Upgrade derzeit nicht möglich ist, eine vorübergehende Minderungstechnik ist verfügbar. Atlassian schlägt vor, öffentliche Repositorys global per Einstellung zu deaktivieren feature.public.access=false.
Dieser Schritt ändert den bestehenden Angriffsvektor von einem nicht autorisierten zu einem autorisierten Angriff. Diese Maßnahme, jedoch, kann nicht als vollständige Minderung angesehen werden. Einem Angreifer mit einem Benutzerkonto könnte es dennoch gelingen, einen Angriff durchzuführen, Atlassian wies darauf hin.