Atlasssian исправила критическую уязвимость в Confluence Server и Data Center

Уязвимость CVE-2022-26138 , связанная с жестко закодированным паролем, появляется после установки приложения Questions for Confluence (версий 2.7.34, 2.7.35 и 3.0.2) для учетной записи пользователя с именем disabledsystemuser. Эта учетная запись добавляется в группу confluence-users и позволяет без ограничений просматривать и редактировать все страницы Confluence , к которым имеет доступ группа.

Неавторизованный злоумышленник, знающий жестко закодированный пароль, может воспользоваться им и получить доступ к любым страницам группы confluence-users.

Atlassian заявила, что у нее нет доказательств и сообщений об использовании CVE-2022-26138 в дикой природе. Тем не менее, компания предупредила: “Жестко закодированный пароль можно получить после загрузки и изучения затронутых версий приложения”.

Кроме того, Atlassian также исправила пару уязвимостей диспетчера сервлетных фильтров (отслеживаемых как CVE-2022-26136 и CVE-2022-26137 ), которые затрагивают следующие продукты компании:

• Bamboo Server and Data Center

• Bitbucket Server and Data Center

• Confluence Server and Data Center

• Crowd Server and Data Center

• Fisheye and Crucible

• Jira Server and Data Center, and

• Jira Service Management Server and Data Center

Успешная эксплуатация этих уязвимостей может позволить неавторизованному удаленному злоумышленнику обойти аутентификацию, используемую сторонними приложениями, выполнить произвольный код JavaScript и обойти механизм Cross-origin resource sharing ( CORS ), отправив специально созданный HTTP-запрос.

Компания предупреждает, что выпустила обновления, устраняющие первопричину CVE-2022-26137, но не все возможные последствия ее использования злоумышленниками.