Kritiska sårbarheter i produkter från Atlassian
Atlassian har tillkännagett en kritisk sårbarhet i Questions for Confluence samt två kritiska sårbarheter som påverkar ett större antal produkter. [1,2]Sårbarheten CVE-2022-26138 påverkar Questions for Confluence för Confluence Server samt Confluence Data Center. Applikationen skapar en användare med hårdkodat lösenord och läggs i användargruppen confluence-users, som ger behörighet att se och redigera alla Confluence-sidor där inte åtkomsten har begränsats.[1]
Sårbarheterna CVE-2022-26136 och CVE-2022-26137 har båda koppling till servlet filter som används för att hantera HTTP frågor och svar. En angripare kan utnyttja CVE-2022-26136 för att kringgå behörighetskontroll för tredjepartsapplikationer samt för webbkodinjektion (XSS). En angripare kan utnyttja CVE-2022-26137 för att kringgå regler för anrop från en annan domän än ursprungsdomänen (CORS). [2]
Uppdatering (2022-08-01)
Sårbarheten CVE-2022-26138 utnyttjas aktivt. [3]
Påverkade produkter
CVE-2022-26138 påverkar följande produkter [1]:Questions for Confluence för Confluence ServerQuestions for Confluence för Confluence Data CenterCVE-2022-26136 samt CVE-2022-26137 påverkar följande produkter [2]: Bamboo Server and Data CenterBitbucket Server and Data CenterConfluence Server and Data CenterCrowd Server and Data CenterFisheye and CrucibleJira Server and Data CenterJira Service Management Server and Data Center
Rekommendationer
CERT-SE rekommenderar att uppdatera sårbara system omgående samt att gå igenom tidigare sårbara exponerade system efter tecken på att dessa blivit komprometterande. I Confluence rekommendationer för CVE-2022-26138 finns informtion om åtgärder och hur man kontrollerar om man är drabbad [1].
Källor
[3] https://www.cisa.gov/known-exploited-vulnerabilities-catalog