Atlassian بروزرسانیهایی را برای رفع دو نقص حیاتی که بر Bitbucket Server، Data Center و محصولات Crowd تأثیر میگذارند، منتشر کرده است.
این آسیبپذیریها که با شناسههای CVE-2022-43781 و CVE-2022-43782 ردیابی میشوند، هر دو در سیستم امتیازدهی آسیبپذیری CVSS دارای امتیاز 9 از 10 هستند.
CVE-2022-43781 که به گفته Atlassian در نسخه 7.0.0 Bitbucket Server و Data Center کشف شده است، نسخههای 7.0 تا 7.21 و 8.0 تا 8.4 را تحتتأثیر قرار میدهد (فقط در صورتی که mesh.enabled در bitbucket.properties روی false تنظیم شده باشد).
این نقص بعنوان یک آسیبپذیری Command Injection با استفاده از متغیرهای محیطی نرمافزار توصیف شده است، که میتواند منجر به دسترسی اجرای کد در سیستم آسیبپذیر شود.
بعنوان یک راهحل موقت، این شرکت به کاربران توصیه میکند گزینه "Public Signup" (Administration > Authentication) را خاموش کنند.
دومین آسیبپذیری با شناسه CVE-2022-43782، مربوط به پیکربندی نادرست در Crowd Server و Data Center است که میتواند به مهاجم اجازه دهد privileged API endpointها را فراخوانی کند.
این نقص که در Crowd 3.0.0 کشف شده است، بر همه موارد نصب شده جدید تأثیر میگذارد، به این معنی که کاربرانی که از نسخههای قبل به نسخه Crowd 3.0.0 ارتقا یافتهاند آسیبپذیر نیستند.
این آسیبپذیریها که با شناسههای CVE-2022-43781 و CVE-2022-43782 ردیابی میشوند، هر دو در سیستم امتیازدهی آسیبپذیری CVSS دارای امتیاز 9 از 10 هستند.
CVE-2022-43781 که به گفته Atlassian در نسخه 7.0.0 Bitbucket Server و Data Center کشف شده است، نسخههای 7.0 تا 7.21 و 8.0 تا 8.4 را تحتتأثیر قرار میدهد (فقط در صورتی که mesh.enabled در bitbucket.properties روی false تنظیم شده باشد).
این نقص بعنوان یک آسیبپذیری Command Injection با استفاده از متغیرهای محیطی نرمافزار توصیف شده است، که میتواند منجر به دسترسی اجرای کد در سیستم آسیبپذیر شود.
بعنوان یک راهحل موقت، این شرکت به کاربران توصیه میکند گزینه "Public Signup" (Administration > Authentication) را خاموش کنند.
دومین آسیبپذیری با شناسه CVE-2022-43782، مربوط به پیکربندی نادرست در Crowd Server و Data Center است که میتواند به مهاجم اجازه دهد privileged API endpointها را فراخوانی کند.
این نقص که در Crowd 3.0.0 کشف شده است، بر همه موارد نصب شده جدید تأثیر میگذارد، به این معنی که کاربرانی که از نسخههای قبل به نسخه Crowd 3.0.0 ارتقا یافتهاند آسیبپذیر نیستند.