Atlassian patcher kritisk Bitbucket-sårbarhed

Fejl med en score på 9,9 rettet.

Atlassians sikkerhedsresponsteam advarer en kritisk command injection-fejl i deres Bitbucket Server og Data Center-produkt. Det skriver Security Week.

Sårbarheden har en CVSS-score på 9,9 ud af 10 og kan bruges til et angreb med ekstern afvikling af kode.

Fejlen har id’et CVE-2022-36804 og findes ifølge Atlassian i version 7.0.0 af Bitbucket Server and Data Center. Dog er alle versioner udgivet efter 6.10.17 inklusive 7.0.0 og nyere påvirket af sårbarheden. Dette betyder, at alle forekomster, der kører versioner mellem 7.0.0 og 8.3.0 inklusive, kan udnyttes af denne sårbarhed.

Atlassian Cloud-websteder skulle ikke være berørt af problemet.

Sårbarheder i Atlassian plejer at finde vej til CISAs KEV-katalog over kendte udnyttede sårbarheder. Alene i år har der ifølge Security Week været fire.

Links:

https://www.securityweek.com/atlassian-ships-urgent-patch-critical-bitbucket-vulnerability