ГлавнаяБаза уязвимостей БДУ → BDU:2022-05364
10критическая

BDU:2022-05364

Уязвимость интерфейса API инструмента для размещения кода, управления и совместной работы на основе Git Bitbucket Server and Data Center, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-08-29
Описание

Уязвимость интерфейса API инструмента для размещения кода, управления и совместной работы на основе Git Bitbucket Server and Data Center связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с помощью специально сформированного HTTP-запроса

Затрагиваемое ПО и версии
Bitbucket Server and Data Center (от 7.0.0 до 7.6.17)Bitbucket Server and Data Center (от 7.7.0 до 7.17.10)Bitbucket Server and Data Center (от 7.18.0 до 7.21.4)Bitbucket Server and Data Center (от 8.0.0 до 8.0.3)Bitbucket Server and Data Center (от 8.1.0 до 8.1.3)Bitbucket Server and Data Center (от 8.2.0 до 8.2.2)Bitbucket Server and Data Center (от 8.3.0 до 8.3.1)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение обедоступных репозиториев, для этого установите параметр feature.public.access=false;
- использование средств межсетевого экранирования уровня веб-приложений;
- применение систем обнаружения и предотвращения вторжений.

Использование рекомендаций производителя:
https://jira.atlassian.com/browse/BSERV-13438

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://jira.atlassian.com/browse/BSERV-13438http://packetstormsecurity.com/files/168470/Bitbucket-Git-Command-Injection.html
Проверьте безопасность своего сайта и почты → Полная проверка домена