L’Agència de Ciberseguretat i Seguretat de les Infraestructures dels Estats Units (CISA) va afegir el divendres una fallada crítica recentment revelada que afecta el servidor Bitbucket i al centre de dades d’Atlassian al catàleg de Vulnerabilitats Explotades Conegudes (KEV), citant proves d’explotació activa.

El problema, identificat com CVE-2022-36804, està relacionat amb una vulnerabilitat d’injecció d’ordres que podria permetre a actors maliciosos obtenir l’execució de codi arbitrari en instal·lacions susceptibles mitjançant l’enviament d’una sol·licitud HTTP especialment dissenyada.

L’explotació reeixida, no obstant això, es basa en el requisit previ que l’atacant ja té accés a un repositori públic o posseeix permisos de lectura a un repositori privat de Bitbucket.

“Totes les versions de Bitbucket Server i Datacenter llançades després de la 6.10.17, incloent-hi la 7.0.0 i les més noves, estan afectades, això significa que totes les instàncies que estiguin executant qualsevol versió entre la 7.0.0 i la 8.3.0 inclusivament estan afectades per aquesta vulnerabilitat”, va assenyalar Atlassian en un avís de finals d’agost de 2022.