Atlassian выпустила исправления для двух критических уязвимостей, затрагивающих Bitbucket Server, Data Center и Crowd. Бреши в защите отслеживаются под идентификаторами CVE-2022-43781 и CVE-2022-43782 и имеют оценку 9 из 10 шкале CVSS:
CVE-2022-4378 позволяет удаленному злоумышленнику выполнить произвольный код при помощи инъекции команд через переменные окружения в двух случаях:
Если на сервере включена публичная регистрация
Если атакующий аутентифицирован и может менять имя пользователя (т.е. имеет права ADMIN или SYS_ADMIN)
Уязвимость затрагивает версии Bitbucket Server с 7.0 по 7.21 и с 8.0 по 8.4. В качестве временного обходного пути
Источник: SecurityLab