Уязвимость CVE-2022-26138 , связанная с жестко закодированным паролем, появляется после установки приложения Questions for Confluence (версий 2.7.34, 2.7.35 и 3.0.2) для учетной записи пользователя с именем disabledsystemuser. Эта учетная запись добавляется в группу confluence-users и позволяет без ограничений просматривать и редактировать все страницы Confluence , к которым имеет доступ группа.
Неавторизованный злоумышленник, знающий жестко закодированный пароль, может воспользоваться им и получить доступ к любым страницам группы confluence-users.
Atlassian заявила, что у нее нет доказательств и сообщений об использовании CVE-2022-26138 в дикой природе. Тем не менее, компания предупредила: “Жестко закодированный пароль можно получить после загрузки и изучения затронутых версий приложения”.
Кроме того, Atlassian также исправила пару уязвимостей диспетчера сервлетных фильтров (отслеживаемых как CVE-2022-26136 и CVE-2022-26137 ), которые затрагивают следующие продукты компании:
Bamboo Server and Data Center
Bitbucket Server and Data Center
Confluence Server and Data Center
Crowd Server and Data Center
Fisheye and Crucible
Jira Server and Data Center, and
Jira Service Management Server and Data Center
Успешная эксплуатация этих уязвимостей может позволить неавторизованному удаленному злоумышленнику обойти аутентификацию, используемую сторонними приложениями, выполнить произвольный код JavaScript и обойти механизм Cross-origin resource sharing ( CORS ), отправив специально созданный HTTP-запрос.
Компания предупреждает, что выпустила обновления, устраняющие первопричину CVE-2022-26137, но не все возможные последствия ее использования злоумышленниками.
Источник: SecurityLab