1 min

Atlassian heeft een security-alert uitgebracht voor zijn Bitbucket Server and Datacenter-oplossing. Hackers kunnen via deze kwetsbaarheid willekeurige code uitvoeren op de kwetsbare instances.

Bitbucket is een op Git gebaseerd codetool voor hosting-, beheer- en collaboration-doeleinden. De tool integreert daarvoor met de Jira- en Trello-oplossingen van Atlassian.

De gevonden kwetsbaarheid, die de designatie CVE-2022-36804, heeft meegekregen maakt command-injectie mogelijk in verschillende API-endpoints van de tool. Hierdoor kunnen hackers met toegang tot een publieke repository of met leespermissies voor een private Bitbucket repository willekeurige (kwaadaardige) code uitvoeren door simpel een kwaadaardig HTTP-verzoek naar deze repository te versturen. De softwarespecialist kwam de kwetsbaarheid op het spoor via zijn Bug Bounty-programma.

Alle versies tussen 7.0 en 8.3 kwetsbaar

Atlassian geeft aan dat alle versies van Bitbucket Server and Datacenter na versie 6.10.17 door de kwetsbaarheid worden getroffen. Dit omvat dus de versie tussen v7.0 en v8.3. Dit zijn de versies 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.1.3, 8.2.2 en 8.3.1.

De cloudgebaseerde versie van Bitbucket Server and Datacenter is niet door de kwetsbaarheid getroffen, aldus Atlassian. Deze versies staan op instances die door de softwarespecialist zelf worden gehost.

Fixes uitgebracht

Inmiddels heeft Atlassian al een aantal fixes voor verschillende versies uitgebracht. Klanten die (nog) geen fix kunnen doorvoeren, moeten volgens Atlassian voorlopig via feature.public.access=false publieke repositories uitzetten. Hierdoor krijgen niet-geautoriseerde gebruikers geen toegang meer tot de instances. Geautoriseerde gebruikers krijgen nog wel toegang. Dit maakt de instances nog wel kwetsbaar voor hackers die al toegangsrechten hebben.

Tip: Atlassian waarschuwt voor kwetsbaarheden in bijna elk product