Bitbucket Server and Data Center

Die Schwachstelle betrifft Bitbucket Server and Data Center von Atlassian, eine selbst betriebene Plattform zur Verwaltung von Quellcode-Repositories. Mehrere Schnittstellen der Programmierschnittstelle (API) prüfen Eingaben unzureichend, sodass sich darüber Befehle einschleusen lassen. Ausnutzen kann den Defekt jeder Angreifer, der lesenden Zugriff auf ein Repository besitzt – sei es ein öffentliches Repository oder ein privates, für das ihm Leserechte eingeräumt wurden. Es sind also keine weitreichenden Berechtigungen nötig: Eine eigens präparierte HTTP-Anfrage an eine der betroffenen Schnittstellen genügt, um aus der Ferne beliebigen Code auf dem Server auszuführen. Damit verschafft sich der Angreifer Kontrolle über das System, auf dem die Plattform läuft, und über die dort verwalteten Quellcodebestände. Betroffen sind selbst gehostete Bitbucket-Installationen, die für Entwicklerteams häufig zentrale Infrastruktur für Versionsverwaltung und Build-Prozesse darstellen.