مقدمه
شرکت Atlassian برای یک نقص امنیتی مهم با شدت ۹.۹ از ۱۰ در Bitbucket Server و Data Center که منجر به اجرای کدهای مخرب خواهد شد، وصله امنیتی منتشر کرد.
جزئیات آسیبپذیری
این آسیبپذیری با شناسهی CVE-2022-36804 میتواند از طریق درخواستهای HTTP ساختگی مورد بهرهبرداری قرار گیرد. مهاجم با دسترسی به مخزن عمومی Bitbucket و یا از طریق اخذ مجوز خواندنِ مخزن خصوصی میتواند کد دلخواه خود را با ارسال یک درخواست HTTP مخرب اجرا کند.
محصولات تحت تأثیر
این نقص امنیتی که توسط محقق امنیتی TheGrandPew@ کشف و گزارش شده است، تمام نسخههای بعد از 6.10.17، شامل نسخه 7.0.0 و جدیدتر را در Bitbucket Server و Datacenter تحت تأثیر قرار میدهد، نسخههای تحت تأثیر شامل موارد ذیل میباشد:
• Bitbucket Server and Datacenter 7.6
• Bitbucket Server and Datacenter 7.17
• Bitbucket Server and Datacenter 7.21
• Bitbucket Server and Datacenter 8.0
• Bitbucket Server and Datacenter 8.1
• Bitbucket Server and Datacenter 8.2, and
• Bitbucket Server and Datacenter 8.3
توصیههای امنیتی
به کاربران توصیه میشود جهت پیشگیری از خطرات احتمالی ناشی از این آسیبپذیری در اسرع وقت نسخههای بهروزرسانیشده محصولات تحت تأثیر را بر روی دستگاه خود نصب کنند.
شرکت Atlassian به عنوان یک راه حل موقت در مواردی که کاربران امکان اعمال فوری وصلههای امنیتی منتشر شده را ندارند به آنها توصیه میکند مخازن عمومی را جهت جلوگیری از سوء استفاده مهاجمان با استفاده از "feature.public.access=false" خاموش کنند.
منبع خبر
- 143