Atlassian a déployé des correctifs pour remédier à une vulnérabilité de sécurité critique liée à l’utilisation d’informations d’identification codées en dur affectant les questions pour la confluence application pour Confluence Server et Confluence Data Center.
La faille, suivie comme CVE-2022-26138survient lorsque l’application en question est activée sur l’un des deux services, ce qui l’amène à créer un compte utilisateur Confluence avec le nom d’utilisateur « disabledsystemuser ».
Bien que ce compte, selon Atlassian, vise à aider les administrateurs à migrer les données de l’application vers Confluence Cloud, il est également créé avec un mot de passe codé en dur, permettant effectivement de visualiser et de modifier toutes les pages non restreintes dans Confluence par défaut.
« Un attaquant distant non authentifié connaissant le mot de passe codé en dur pourrait exploiter cela pour se connecter à Confluence et accéder à toutes les pages du groupe d’utilisateurs de confluence a accès », la société a dit dans un avis, ajoutant que « le mot de passe codé en dur est facile à obtenir après le téléchargement et l’examen des versions concernées de l’application ».
Les questions pour les versions 2.7.34, 2.7.35 et 3.0.2 de Confluence sont affectées par la faille, avec des correctifs disponibles dans les versions 2.7.38 et 3.0.5. Alternativement, les utilisateurs peuvent désactiver ou supprimer le compte d’utilisateur système désactivé.
Bien qu’Atlassian ait souligné qu’il n’y a aucune preuve d’exploitation active de la faille, les utilisateurs peuvent rechercher des indicateurs de compromission en vérifiant la dernière heure d’authentification du compte. « Si la dernière heure d’authentification pour disabledsystemuser est nulle, cela signifie que le compte existe mais que personne ne s’y est jamais connecté », a-t-il déclaré.
Par ailleurs, la société de logiciels australienne a également décidé de corriger une paire de failles critiques, qu’elle appelle les vulnérabilités du répartiteur de filtre de servlet, affectant plusieurs produits –
- Serveur et centre de données Bamboo
- Serveur Bitbucket et centre de données
- Serveur Confluence et centre de données
- Serveur de foule et centre de données
- Fisheye et Creuset
- Jira Server et Data Center, et
- Serveur de gestion des services Jira et centre de données
L’exploitation réussie des bogues, suivis comme CVE-2022-26136 et CVE-2022-26137, pourrait permettre à un attaquant distant non authentifié de contourner l’authentification utilisée par des applications tierces, d’exécuter du code JavaScript arbitraire et de contourner le partage de ressources cross-origin (SCRO) mécanisme de navigateur en envoyant une requête HTTP spécialement conçue.
« Atlassian a publié des mises à jour qui corrigent la cause première de cette vulnérabilité, mais n’a pas énuméré de manière exhaustive toutes les conséquences potentielles de cette vulnérabilité », a déclaré la société. mis en garde dans son avis concernant CVE-2022-26137.