Два широко используемых инструмента Atlassian Bitbucket, Server и Data Center, имеют серьезную уязвимость, которая позволяет удаленным злоумышленникам с разрешениями на чтение общедоступного или частного репозитория Bitbucket выполнять произвольный код, предупредили эксперты.
Уязвимость активно используется в реальных условиях, отметило Агентство по кибербезопасности и инфраструктуре США (CISA), призвав компании, использующие эти инструменты, немедленно исправить (откроется в новой вкладке) свои конечные точки (откроется в новой вкладке). Аналитики интернет-трафика GreyNoise подтвердили выводы CISA и заявили, что нашли доказательства использования уязвимости.
Уязвимость обозначена как CVE-2022-36804 и присутствовала в версии 7.0.0 обоих инструментов до версии 8.3.0. Компании, которые не могут немедленно применить исправление, должны отключить общедоступные репозитории, чтобы минимизировать риск, говорят в Atlassian.
летние патчи
Компания подтвердила наличие уязвимости в конце августа 2022 года, но это не первый раз в этом году, когда Atlassian приходится исправлять серьезные ошибки программного обеспечения.
Прошлым летом в нескольких популярных продуктах компании, включая Jira, Confluence и Bamboo, были обнаружены две очень серьезные уязвимости, которые позволяли удаленно выполнять код и повышать привилегии.
Первая уязвимость идентифицируется как CVE-2022-26136, произвольный обход фильтра сервлета, который позволяет злоумышленникам обходить настраиваемые фильтры сервлетов, которые сторонние приложения используют для аутентификации. Все, что им нужно сделать, это отправить собственный вредоносный HTTP-запрос.
Вторая уязвимость идентифицируется как CVE-2022-26137 и описывается как обход совместного использования ресурсов между источниками (CORS).
«Отправка специально созданного HTTP-запроса может вызвать фильтр сервлета, используемый для ответа на запросы CORS, что приведет к обходу CORS», — сказал Atlassian. «Злоумышленник, который может обманом заставить пользователя запросить вредоносный URL-адрес, может получить доступ к уязвимому приложению с соответствующими разрешениями».
Хотя эти два недостатка были обнаружены в нескольких продуктах Atlassian, был еще один, обнаруженный только в Confluence. Уязвимость CVE-2022-26138 на самом деле представляет собой скремблирование паролей, реализованное для облегчения миграции в облако.
В настоящее время дефекты устранены.
Через: Реестр (откроется в новой вкладке)