Atlassian telah meluncurkan perbaikan untuk memulihkan kerentanan keamanan kritis yang berkaitan dengan penggunaan kredensial hard-code yang memengaruhi aplikasi Questions For Confluence untuk Confluence Server dan Confluence Data Center.
Cacatnya, dilacak sebagai CVE-2022-26138muncul saat aplikasi yang dimaksud diaktifkan di salah satu dari dua layanan, menyebabkannya membuat akun pengguna Confluence dengan nama pengguna “disabledsystemuser.”
Meskipun akun ini, kata Atlassian, adalah untuk membantu administrator memigrasikan data dari aplikasi ke Confluence Cloud, akun ini juga dibuat dengan kata sandi hard-code, yang secara efektif memungkinkan melihat dan mengedit semua halaman yang tidak dibatasi dalam Confluence secara default.
“Penyerang jarak jauh yang tidak diautentikasi dengan pengetahuan tentang kata sandi yang dikodekan dapat mengeksploitasi ini untuk masuk ke Confluence dan mengakses halaman mana pun yang dapat diakses oleh grup pengguna pertemuan,” kata perusahaan itu dalam sebuah penasihat, menambahkan bahwa “kata sandi yang dikodekan secara keras mudah didapat setelah mengunduh dan meninjau versi aplikasi yang terpengaruh.”
Pertanyaan untuk Confluence versi 2.7.34, 2.7.35, dan 3.0.2 dipengaruhi oleh kekurangan tersebut, dengan perbaikan tersedia di versi 2.7.38 dan 3.0.5. Atau, pengguna dapat menonaktifkan atau menghapus akun pengguna sistem yang dinonaktifkan.
Sementara Atlassian telah menunjukkan bahwa tidak ada bukti eksploitasi aktif dari cacat, pengguna dapat mencari indikator kompromi dengan memeriksa waktu otentikasi terakhir untuk akun tersebut. “Jika waktu otentikasi terakhir untuk pengguna sistem yang dinonaktifkan adalah nol, itu berarti akun itu ada tetapi tidak ada yang pernah masuk ke dalamnya,” katanya.
Secara terpisah, perusahaan perangkat lunak Australia juga pindah untuk menambal sepasang kelemahan kritis, yang disebut kerentanan operator filter servlet, yang berdampak pada banyak produk –
- Server Bambu dan Pusat Data
- Server Bitbucket dan Pusat Data
- Server Confluence dan Pusat Data
- Server Kerumunan dan Pusat Data
- Fisheye dan Crucible
- Server Jira dan Pusat Data, dan
- Server dan Pusat Data Manajemen Layanan Jira
Eksploitasi bug yang berhasil, dilacak sebagai CVE-2022-26136 dan CVE-2022-26137, dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk melewati otentikasi yang digunakan oleh aplikasi pihak ketiga, mengeksekusi kode JavaScript arbitrer, dan menghindari berbagi sumber daya lintas-asal (CORS) mekanisme browser dengan mengirimkan permintaan HTTP yang dibuat khusus.
“Atlassian telah merilis pembaruan yang memperbaiki akar penyebab kerentanan ini, tetapi belum secara lengkap menyebutkan semua konsekuensi potensial dari kerentanan ini,” perusahaan memperingatkan dalam nasihatnya mengenai CVE-2022-26137.