کمیته رکن چهارم – به تازگی Bitbucket یک اخطار امنیتی به طور رسمی منتشر کرده که حاوی سه آسیب پذیری در اجرای کد از راه دور با میزان آسیب پذیری بسیار مهم است.
سرویس Bitbucket میزبان مخازن کنترل نسخه تحت وب است که متعلق به Atlassian می باشد و برای پروژه های توسعه که از سیستم های کنترل Mercurial یا Git استفاده می کند به کار می رود. Bitbucket هم برنامه های تجاری و هم اکانت های رایگان ارائه می دهد.
سه آسیب پذیری اجرای کد از راه دور با شناسه های زیر قابل ردیابی است:
CVE-2019-15010
CVE-2019-20097
CVE-2019-15012
فرد مهاجم می تواند با ساختن یک پیلود حمله، از آسیب پذیری های فوق برای حمله استفاده کند. هنگامی که این حمله با موفقیت انجام شد، وی می تواند دستورات دلخواه را روی سرور Bitbucket و مرکز داده قربانی اجرا کند.
این آسیب پذیری در سطح مهمی طبقه بندی می شود و بهره برداری از آن میتواند عواقب جدی داشته باشد بنابراین به کاربران سرور Bitbucket و دیتاسنتر توصیه می شود برای جلوگیری از هک شدن، آخرین وصله های امنیتی را به موقع نصب کنند.
CVE-2019-15010
نسخه های سرور Bitbucket و Data Center ورژن ۳٫۰٫۰ به بالا، از طریق فیلد های ورودی کاربر دارای آسیب پذیری Remote Code Exception هستند. یک مهاجم از راه دور با مجوزهای سطح کاربر می تواند از این آسیب پذیری برای اجرای دستورات دلخواه بر روی سیستم های قربانی سوء استفاده کند. مهاجم می تواند با استفاده از پیلود ساخته شده به عنوان ورودی کاربر، دستورات دلخواه را روی سرور Bitbucket قربانی یا به عنوان مثال Data Center اجرا کند.
CVE-2019-20097
نسخه های سرور Bitbucket و Data Center ورژن ۱٫۰٫۰ به بالا از طریق hook دریافتی، دارای آسیب پذیری اجرای Remote Code هستند. یک مهاجم از راه دور با clone و push کردن پرونده ها به مخزنی در سرور Bitbucket قربانی یا Data Center، می تواند از این آسیب پذیری برای اجرای دستورات دلخواه در سیستم های سرور Bitbucket یا Data Center با استفاده از پرونده ای با محتوای دستکاری شده سوء استفاده کند.
CVE-2019-15012
نسخه های سرور Bitbucket و Data Center>> = 4.13 از طریق درخواست ویرایش فایل، آسیب پذیری اجرای Remote Code در آن اجرا می شود. یک مهاجم از راه دور با مجوز نوشتن در مخزن می تواند برای هر پرونده دلخواه بر روی سرور Bitbucket قربانی یا به عنوان مثال Data Center با استفاده از نقطه انتهایی edit-file تغییراتی ایجاد کند.
به تمامی کاربران توصیه می شود سرور Bitbucket یا مرکز داده خود را به آخرین نسخه ارتقا دهند.
منبع: ایران سایبر