Atlassian 修复了一个关键的 Confluence 漏洞
Atlassian 发布了安全更新,以解决影响 Confluence Server 和 Confluence Data Center 的严重安全漏洞。
Atlassian 发布了安全更新,以解决 Confluence 服务器和数据中心中的一个严重硬编码凭据漏洞,该漏洞被跟踪为 CVE-2022-26138。
未经身份验证的远程攻击者可以利用该漏洞登录未打补丁的服务器。
一旦安装了 Questions for Confluence 应用程序(版本 2.7.34、2.7.35 和 3.0.2),就会创建一个用户名为“ disabledsystemuser ”的 Confluence 用户帐户。
根据 Atlassian 的说法,该帐户允许管理员将数据从应用程序迁移到 Confluence Cloud。坏消息是该帐户是使用硬编码密码创建的,并被添加到 confluence-users 组,默认情况下允许查看和编辑 Confluence 中的所有非受限页面。
“当 Confluence Server 或 Data Center 上的 Questions for Confluence 应用程序 启用时,它会创建一个用户名为 disabledsystemuser 的 Confluence 用户帐户。此帐户旨在帮助将数据从应用程序迁移到 Confluence Cloud 的管理员。disabledsystemuser 帐户是使用硬编码密码创建的,并添加到 confluence-users 组,默认情况下允许查看和编辑 Confluence 中的所有非受限页面 。” 阅读Atlassian 发布的公告。“知道硬编码密码的远程、未经身份验证的攻击者可以利用它登录 Confluence 并访问该组可以访问的任何页面。”
受影响的版本是:
Confluence 2.7.x 的问题 | 2.7.34 2.7.35 |
Confluence 3.0.x 的问题 | 3.0.2 |
该公司指出,卸载 Questions for Confluence 应用程序并不能解决此漏洞,因为在卸载应用程序后,disabledsystemuser 帐户不会被删除。受影响的 Confluence Server 或 Data Center 实例的管理员可以通过以下操作修复此漏洞:
- 选项 1:更新到 Confluence 的非易受攻击版本
- 选项 2:禁用或删除 disabledsystemuser 帐户
好消息是,Atlassian 并不知道利用此漏洞进行的攻击。
要确定是否有人使用硬编码密码登录到 disabledsystemuser 帐户,管理员可以获取用户上次登录时间的列表,如果硬编码帐户的上次身份验证时间为空,则意味着该帐户从未用于访问设备。
