Atlassian修复了一个关键的Confluence漏洞

安全 漏洞
近期,Atlassian发布了安全更新,以解决Confluence服务器和数据中心中的一个严重硬编码凭据漏洞,该漏洞编号为CVE-2022-26138,未经身份验证的远程攻击者可以利用该漏洞登录未打补丁的服务器。

近期,Atlassian发布了安全更新,以解决Confluence服务器和数据中心中的一个严重硬编码凭据漏洞,该漏洞编号为CVE-2022-26138,未经身份验证的远程攻击者可以利用该漏洞登录未打补丁的服务器。一旦安装了Questions for Confluence 应用程序(版本 2.7.34、2.7.35 和 3.0.2),就会创建一个用户名为“ disabledsystemuser ”的 Confluence 用户帐户。根据 Atlassian的说法,该帐户允许管理员将数据从应用程序迁移到Confluence Cloud。并且该帐户是使用硬编码密码创建的,并被添加到 confluence-users组,默认情况下允许查看和编辑 Confluence中的所有非受限页面。

根据Atlassian 发布的公告,当Confluence Server或Data Center上的Questions for Confluence 应用程序启用时,它会创建一个用户名为 disabledsystemuser 的 Confluence 用户帐户。此帐户旨在帮助将数据从应用程序迁移到 Confluence Cloud 的管理员。disabledsystemuser 帐户是使用硬编码密码创建的,并被添加到 confluence-users 组中,默认情况下允许查看和编辑 Confluence 中的所有非受限页面 。 知道硬编码密码的未经身份验证的攻击者可以利用它登录 Confluence 并访问该组可以访问的任何页面。

该公司指出,卸载Questions for Confluence 应用程序并不能解决此漏洞,因为在卸载应用程序后,disabledsystemuser 帐户不会被删除。受影响的 Confluence Server 或 Data Center 实例的管理员可以通过以下操作修复此漏洞:

  • 选项 1:更新到 Confluence 的非易受攻击版本
  • 选项 2:禁用或删除 disabledsystemuser 帐户

幸运的是,目前Atlassian并没有收到利用此漏洞进行的野外攻击。要确定是否有人使用硬编码密码登录到 disabledsystemuser 帐户,管理员可以获取用户上次登录时间的列表,如果硬编码帐户的上次身份验证时间为空,则意味着该帐户从未用于访问设备。

责任编辑:未丽燕 来源: FreeBuf.com
相关推荐

2024-01-23 11:45:27

2022-06-07 11:20:33

零日漏洞漏洞网络攻击

2023-10-18 12:15:35

2023-10-18 16:36:40

2021-04-30 12:23:15

Windows 10微软更新

2022-05-07 11:31:25

漏洞网络攻击

2014-06-03 10:14:06

2022-08-25 06:49:49

GitLab漏洞修复

2022-05-16 08:42:26

Pandasbug

2020-11-04 14:59:01

GoogleChrome更新

2010-11-25 10:24:13

2022-08-21 14:14:53

微软漏洞

2015-02-12 16:34:55

2022-11-10 09:57:24

2022-08-04 18:56:28

思科漏洞VPN 路由器

2015-07-02 11:12:19

2017-02-16 15:47:12

2021-05-29 10:11:51

Apple漏洞恶意软件

2016-08-01 11:07:51

Oracle漏洞

2009-12-11 10:05:11

点赞
收藏

51CTO技术栈公众号