Accueil > Nouvelles Cyber > CVE-2022-36804: Défaut critique du serveur Atlassian Bitbucket
CYBER NOUVELLES

CVE-2022-36804: Défaut critique du serveur Atlassian Bitbucket

CVE-2022-36804: Défaut critique du serveur Atlassian Bitbucket
Une autre critique Vulnérabilité Atlassienne a été signalé dans de nombreux endpoints d'API de Bitbucket Server et Data Center. La vulnérabilité en question est CVE-2022-36804, un problème d'injection de commande dans la version 7.0.0 de Bitbucket Server et Data Center.

CVE-2022-36804: Atlassian Bitbucket Server et vulnérabilité du centre de données

Selon l'avis officiel, toutes les versions de Bitbucket publiées après 6.10.17, Y compris 7.0.0 et les plus récents, sont affectés. En d'autres termes, toutes les instances exécutant toutes les versions entre 7.0.0 et 8.3.0 inclus sont exposés à la faille d'injection de commande.




En termes techniques, la vulnérabilité peut être exploitée par un acteur malveillant ayant accès à un référentiel public ou avec des autorisations de lecture sur un référentiel Bitbucket privé. Le problème critique peut être utilisé dans des attaques d'exécution de code arbitraire initiées en envoyant une requête HTTP malveillante.

Afin d'éviter les risques découlant de CVE-2022-36804, Les clients du serveur Bitbucket doivent mettre à niveau leurs instances vers l'une des versions corrigées. Si, pour une raison quelconque, la mise à niveau n'est pas possible pour le moment, une technique d'atténuation temporaire est disponible. Atlassian suggère de désactiver les référentiels publics à l'échelle mondiale en définissant feature.public.access=false.

Cette étape changera le vecteur d'attaque existant d'une attaque non autorisée à une attaque autorisée. Cette mesure, cependant, ne peut pas être considéré comme une atténuation complète. Un acteur malveillant disposant d'un compte utilisateur pourrait toujours réussir à mener une attaque, Atlassian souligné.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord