Atlassian a déployé des correctifs pour une faille de sécurité critique dans Bitbucket Server et Data Center qui pourrait conduire à l’exécution d’un code malveillant sur les installations vulnérables.
Repéré sous le nom de CVE-2022-36804, le problème a été caractérisé comme une vulnérabilité d’injection de commande dans de multiples points d’extrémité qui pourrait être exploitée via des requêtes HTTP spécialement conçues.
«Un attaquant ayant accès à un dépôt Bitbucket public ou disposant d’autorisations de lecture sur un dépôt privé peut exécuter un code arbitraire en envoyant une requête HTTP malveillante», a déclaré Atlassian dans un avis.
Comme solution temporaire dans les scénarios où les correctifs ne peuvent pas être appliqués immédiatement, Atlassian recommande de désactiver les dépôts publics en utilisant «Feature.public.access=false» pour empêcher les utilisateurs non autorisés d’exploiter la faille.
«Cela ne peut pas être considéré comme une mesure d’atténuation complète, car un attaquant disposant d’un compte d’utilisateur pourrait toujours réussir», a averti la Commission, ce qui signifie qu’elle pourrait être exploitée par des acteurs de la menace qui sont déjà en possession d’informations d’identification valides obtenues par d’autres moyens.
Il est recommandé aux utilisateurs des versions concernées du logiciel de mettre à jour leurs instances vers la dernière version dès que possible afin d’atténuer les menaces potentielles.