Une autre critique Vulnérabilité Atlassienne a été signalé dans de nombreux endpoints d'API de Bitbucket Server et Data Center. La vulnérabilité en question est CVE-2022-36804, un problème d'injection de commande dans la version 7.0.0 de Bitbucket Server et Data Center.
CVE-2022-36804: Atlassian Bitbucket Server et vulnérabilité du centre de données
Selon l'avis officiel, toutes les versions de Bitbucket publiées après 6.10.17, Y compris 7.0.0 et les plus récents, sont affectés. En d'autres termes, toutes les instances exécutant toutes les versions entre 7.0.0 et 8.3.0 inclus sont exposés à la faille d'injection de commande.
En termes techniques, la vulnérabilité peut être exploitée par un acteur malveillant ayant accès à un référentiel public ou avec des autorisations de lecture sur un référentiel Bitbucket privé. Le problème critique peut être utilisé dans des attaques d'exécution de code arbitraire initiées en envoyant une requête HTTP malveillante.
Afin d'éviter les risques découlant de CVE-2022-36804, Les clients du serveur Bitbucket doivent mettre à niveau leurs instances vers l'une des versions corrigées. Si, pour une raison quelconque, la mise à niveau n'est pas possible pour le moment, une technique d'atténuation temporaire est disponible. Atlassian suggère de désactiver les référentiels publics à l'échelle mondiale en définissant feature.public.access=false.
Cette étape changera le vecteur d'attaque existant d'une attaque non autorisée à une attaque autorisée. Cette mesure, cependant, ne peut pas être considéré comme une atténuation complète. Un acteur malveillant disposant d'un compte utilisateur pourrait toujours réussir à mener une attaque, Atlassian souligné.