Un altro critico Vulnerabilità atlante è stato segnalato in numerosi endpoint API di Bitbucket Server e Data Center. La vulnerabilità in questione è CVE-2022-36804, un problema di iniezione dei comandi nella versione 7.0.0 di Bitbucket Server e Data Center.
CVE-2022-36804: Vulnerabilità Atlassian Bitbucket Server e Data Center
Secondo l'advisory ufficiale, tutte le versioni di Bitbucket rilasciate dopo 6.10.17, Compreso 7.0.0 e quelli più recenti, sono colpiti. In altre parole, tutte le istanze che eseguono qualsiasi versione tra 7.0.0 e 8.3.0 inclusi sono esposti al difetto di iniezione del comando.
In termini tecnici, la vulnerabilità può essere sfruttata da un attore di minacce con accesso a un repository pubblico o con autorizzazioni di lettura a un Bitbucket privato. Il problema critico può essere utilizzato in attacchi arbitrari di esecuzione di codice avviati inviando una richiesta HTTP dannosa.
Al fine di evitare i rischi derivanti da CVE-2022-36804, I clienti del server Bitbucket devono aggiornare le proprie istanze a una delle versioni fisse. Se per qualsiasi motivo l'aggiornamento non è possibile al momento, è disponibile una tecnica di mitigazione temporanea. Atlassian suggerisce di disattivare i repository pubblici a livello globale impostando feature.public.access=falso.
Questo passaggio cambierà il vettore di attacco esistente da attacco non autorizzato a attacco autorizzato. Questa misura, tuttavia, non può essere considerata una mitigazione completa. Un attore di minacce con un account utente potrebbe comunque riuscire a portare a termine un attacco, Atlante sottolineato.