Atlassian ha implementado correcciones para remediar una vulnerabilidad de seguridad crítica relacionada con el uso de credenciales codificadas que afectan las preguntas para la confluencia aplicación para Confluence Server y Confluence Data Center.
La falla, rastreada como CVE-2022-26138surge cuando la aplicación en cuestión está habilitada en cualquiera de los dos servicios, lo que hace que se cree una cuenta de usuario de Confluence con el nombre de usuario “disabledsystemuser”.
Si bien esta cuenta, dice Atlassian, es para ayudar a los administradores a migrar datos de la aplicación a Confluence Cloud, también se crea con una contraseña codificada, lo que permite ver y editar todas las páginas no restringidas dentro de Confluence de manera predeterminada.
“Un atacante remoto no autenticado con conocimiento de la contraseña codificada podría explotar esto para iniciar sesión en Confluence y acceder a cualquier página que grupo de usuarios de confluencia tiene acceso a”, la empresa dijo en un aviso, agregando que “la contraseña codificada es trivial de obtener después de descargar y revisar las versiones afectadas de la aplicación”.
Las preguntas para las versiones 2.7.34, 2.7.35 y 3.0.2 de Confluence se ven afectadas por la falla, con correcciones disponibles en las versiones 2.7.38 y 3.0.5. Alternativamente, los usuarios pueden deshabilitar o eliminar la cuenta de usuario del sistema deshabilitado.
Si bien Atlassian ha señalado que no hay evidencia de explotación activa de la falla, los usuarios pueden buscar indicadores de compromiso al verificar el último tiempo de autenticación de la cuenta. “Si el último tiempo de autenticación para disabledsystemuser es nulo, eso significa que la cuenta existe pero nadie ha iniciado sesión”, dijo.
Por separado, la compañía de software australiana también se movió para parchear un par de fallas críticas, a las que llama vulnerabilidades del despachador de filtros de servlet, que afectan a múltiples productos:
- Servidor y centro de datos Bamboo
- Servidor Bitbucket y centro de datos
- Servidor de confluencia y centro de datos
- Servidor de multitudes y centro de datos
- Ojo de pez y crisol
- Servidor y centro de datos de Jira, y
- Centro de datos y servidor de gestión de servicios de Jira
La explotación exitosa de los errores, rastreados como CVE-2022-26136 y CVE-2022-26137, podría permitir que un atacante remoto no autenticado omita la autenticación utilizada por aplicaciones de terceros, ejecute código JavaScript arbitrario y eluda el uso compartido de recursos de origen cruzado. (CORS) mecanismo del navegador mediante el envío de una solicitud HTTP especialmente diseñada.
“Atlassian ha publicado actualizaciones que corrigen la causa raíz de esta vulnerabilidad, pero no ha enumerado de manera exhaustiva todas las posibles consecuencias de esta vulnerabilidad”, dijo la empresa. advertido en su aviso sobre CVE-2022-26137.
About the Author
