×

Atlassian Bitbucket Server и Data Center подвержены критической уязвимости

Atlassian Bitbucket Server и Data Center подвержены критической уязвимости

Уязвимость затрагивает все версии Bitbucket Server и Datacenter, выпущенные после 6.10.17.

Уязвимость, отслеживаемая под идентификатором CVE-2022-36804 (имеет оценку 9.9 из 10 по шкале CVSS), позволят хакеру произвести инъекцию команд в нескольких конечных точках. Брешь в защите может быть использована с помощью специально созданных HTTP-запросов.

Кроме того, в сообщении Atlassian говорится, что для успешной эксплуатации CVE-2022-36804 злоумышленник должен иметь доступ к публичному репозиторию Bitbucket или права на чтение частного репозитория

По словам ИБ-специалиста под никнеймом @TheGrandPew, уязвимость затрагивает все версии Bitbucket Server и Datacenter, выпущенные после 6.10.17, включая 7.0.0 и более новые:

  • Bitbucket Server и Datacenter 7.6;

  • Bitbucket Server и Datacenter 7.17;

  • Bitbucket Server и Datacenter 7.21;

  • Bitbucket Server и Datacenter 8.0;

  • Bitbucket Server и Datacenter 8.1;

  • Bitbucket Server и Datacenter 8.2;

  • Bitbucket Server и Datacenter 8.3.

Для уязвимости уже доступно исправление, но в случаях, где обновления не могут быть применены немеденно, Atlassian рекомендует отключить публичные репозитории с помощью "feature.public.access=false", чтобы предотвратить использование уязвимости неавторизованными злоумышленниками.

Компания предупреждает, что такой обходной путь не полностью устраняет уязвимость, так как злоумышленник с учетной записью пользователя все еще может воспользоваться CVE-2022-36804.

Пользователям уязвимых версий рекомендуется как можно скорее обновить ПО до последней версии, чтобы снизить потенциальные риски.

Sysdig: каждый заработанный криптомайнерами доллар обходится жертве в 53 доллара

Эксперты рассчитали ущерб, проанализировав изучив крупную майнинговую кампанию Chimaera.

Исследователи Zscaler обнаружили в даркнете свежий билдер вредоносного ПО под названием Quantum

Инструмент может быть тесно связан с APT-группировкой Lazarus.