Atlassian Soluciona (Otra) Vulnerabilidad Por Una Contraseña Hardcoded
Atlassian ha lanzado actualizaciones de seguridad para abordar tres vulnerabilidades de gravedad crítica en sus productos, los cuales podrían explotarse para provocar una omisión de autenticación o secuencias de comandos entre sitios y tomar el control de los sistemas afectados.
La primera de las tres fallas, CVE-2022-26138 (puntaje CVSS: 8.6), afecta a los productos Confluence Server y Data Center, y permite que un atacante remoto no autenticado con conocimiento de un contraseña codificada (hardcoded) pueda explotar esto para iniciar sesión en Confluence.
"Cuando la aplicación Questions for Confluence app está habilitada en Confluence Server o Data Center, crea una cuenta de usuario de Confluence con el nombre de usuario disabledsystemuser. Esta cuenta está destinada a ayudar a los administradores que están migrando datos de la aplicación a Confluence Cloud. La cuenta de usuario del sistema deshabilitado se crea con una contraseña codificada y se agrega al grupo de usuarios de confluence, lo que permite ver y editar todas las páginas no restringidas dentro de Confluence de manera predeterminada", dice el aviso.
CVE-2022-26138 afecta a Confluence Server and Data Center versión 7.4.0, 7.13.0, 7.4.12, 7.16.0, 7.15.1 y 7.17.0. Se ha resuelto en las versiones 7.14.3, 7.15.2, 7.13.6, 7.16.4, 7.4.17 y 7.17.2. Atlassian no tiene conocimiento de ningún exploit que aproveche esta falla crítica.
Una instancia de Confluence Server o Data Center se ve afectada si tiene una cuenta de usuario activa con la siguiente información:
- User: disabledsystemuser
- Username: disabledsystemuser
- Email: [email protected]
Si esta cuenta no aparece en la lista de usuarios activos, la instancia de Confluence no se ve afectada.
Atlassian abordó hasta dos vulnerabilidades de gravedad crítica que afectaban al servidor y centro de datos Bamboo, el servidor y centro de datos Bitbucket, el servidor y centro de datos Confluence, el servidor y centro de datos Crowd, Crucible, Fisheye, el servidor y centro de datos Jira y el servidor de gestión de servicios Jira. y centro de datos
Omisión de filtro de servlet arbitrario (CVE-2022-26136) y Invocación de filtro de servlet adicional (CVE-2022-26137). Si las fallas se explotan con éxito, puede permitir que los atacantes que pueden engañar a un usuario para que solicite una URL maliciosa puedan ejecutar Javascript arbitrario en el navegador del usuario o engañar a un usuario para que solicite una URL maliciosa puedan acceder a la aplicación vulnerable con los permisos de la víctima.
Fuente: SecurityOnline
Via: blog.segu-info.com.ar