Atlassian, Bitbucket Server ve Data Center’da keşfedilen kritik zafiyetler için güncelleme yayınladı. İki güvenlik açığı da 10 üzerinden 9 puan almış durumda ve birden çok sürümünü etkiliyor.
Zafiyetlerden ilki Crowd Server, Data Center’i etkiliyor ve CVE-2022-43782 olarak izleniyor. Başarılı bir istismar kimlik doğrulaması yaparken parola kontrollerini atlamasına ve ayrıcalıklı API endpoint çağırmasına olanak tanıyan yanlış yapılandırmadan kaynaklanıyor. Güvenlik açığı 3.0 sürümünde ortaya çıkmış durumda ve 2.9.1 gibi önceki sürümlerden yapılan yükseltmeler zafiyetten etkilenmiyor. Zafiyetten etkilenen sürümler ise 3.0.0 – 3.7.2, 4.0.0 – 4.4.3 ve 5.0.0 – 5.0.2, ancak 5.0.3 ve 4.4.4 sürümlerinde sorun bulunmuyor. Atlassian yaptığı açıklamada 3.0.0 sürümündeki zafiyetin EOL olduğu için güncelleme almayacağını belirtti.
Diğer bir zafiyet ise Bitbucket Server,Data Center’ı etkiliyor ve CVE-2022-43781 olarak izlenebiliyor. Başarılı bir istismar RCE zafiyetine yol açabiliyor.
Zafiyetten etkilenmemek için aşağıdaki sürünlere geçmek gerekiyor;
- 7.6.19 or newer
- 7.17.12 or newer
- 7.21.6 or newer
- 8.0.5 or newer
- 8.1.5 or newer
- 8.2.4 or newer
- 8.3.3 or newer
- 8.4.2 or newer
- 8.5.0 or newer
Güncelleme yapamayan kullanıcılar “Public Signup”‘ı disable etmeleri öneriliyor.
Kaynak: bleepingcomputer.com
