Atlassian, Bitbucket Server ve Data Center’ı etkileyen RCE zafiyet için güncelleme yayınladı. CVE-2022-36804 olarak izlenen zafiyet API enjeksiyonuna izin veriyor ve 10.0 üzerinden 9.9’luk CVSS puanı almış durumda.
Güvenlik açığı, 7.0.0 ve 8.3.0’a kadar olan sürümler, 6.10.17’den sonraki tüm Bitbucket Server ve Data Center sürümlerini etkiliyor. Güncelleme yayınlanan sürümler 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.1.3, 8.2.2 ve 8.3.1. Ancak 6.x ve daha eski desteklenmeyen sürümler güncelleme almayacak.
Güvenlik güncellemelerini uygulayamayanlar, “feature.public.access=false” yaparak genel depoları kapatanbilir ve geçici mitigate yöntemi uygulayabilir. Atlassian, Bitbucket’e bitbucket.org üzerinden erişenlerin kritik RCE’den etkilenmediğini belirtiyor.
PoC geliyor!
Daha öncede Atlassian firmasına ait ürünlerde zafiyetler keşfeden araştırmacı Max Garrett, Twitter’dan 30 gün içinde PoC yayınlayacağına söz verdi.
Sistem yöneticilerin hala zamanı var ve PoC yayınlanmadan önce tüm güncellemelerin yapılması büyük önem taşıyor.
Kaynak: bleepingcomputer.com