Atlasssian исправила критическую уязвимость в Confluence Server и Data Center

Чт 21 Июль 2022 12:54

Уязвимость CVE-2022-26138 , связанная с жестко закодированным паролем, появляется после установки приложения Questions for Confluence (версий 2.7.34, 2.7.35 и 3.0.2) для учетной записи пользователя с именем disabledsystemuser. Эта учетная запись добавляется в группу confluence-users и позволяет без ограничений просматривать и редактировать все страницы Confluence , к которым имеет доступ группа.

Неавторизованный злоумышленник, знающий жестко закодированный пароль, может воспользоваться им и получить доступ к любым страницам группы confluence-users.

Atlassian заявила, что у нее нет доказательств и сообщений об использовании CVE-2022-26138 в дикой природе. Тем не менее, компания предупредила: “Жестко закодированный пароль можно получить после загрузки и изучения затронутых версий приложения”.

Кроме того, Atlassian также исправила пару уязвимостей диспетчера сервлетных фильтров (отслеживаемых как CVE-2022-26136 и CVE-2022-26137 ), которые затрагивают следующие продукты компании:

Bamboo Server and Data Center

Bitbucket Server and Data Center

Confluence Server and Data Center

Crowd Server and Data Center

Fisheye and Crucible

Jira Server and Data Center, and

Jira Service Management Server and Data Center

Успешная эксплуатация этих уязвимостей может позволить неавторизованному удаленному злоумышленнику обойти аутентификацию, используемую сторонними приложениями, выполнить произвольный код JavaScript и обойти механизм Cross-origin resource sharing ( CORS ), отправив специально созданный HTTP-запрос.

Компания предупреждает, что выпустила обновления, устраняющие первопричину CVE-2022-26137, но не все возможные последствия ее использования злоумышленниками.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 255 дней 11 часов 52 минуты 7 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.