CVE-2022-26138 Confluence 應用程序身份認證硬編碼漏洞分析與復現

漏洞信息

2022.07.20 Atlassian 官方通報了 Questions for Confluence 應用程序存在硬編碼漏洞 CVE-2022-26138，當 Confluence 安裝該應用程序后，會自動新增一個硬編碼的管理員賬號密碼，影響版本：

•  Questions for Confluence 2.7.x  2.7.34/2.7.35
•  Questions for Confluence 3.0.x  3.0.2

漏洞分析

目前官網下載不到存在漏洞的 Questions 安裝程序，但是在互聯網上通過搜索還是能夠找到漏洞版本的 。安裝完 Confluence 后，需要上傳安裝 Questions 插件：

在上傳安裝的過程中，將實例化 `UserCreatorServiceImpl` 對象：

其中的 `username` 、 `password` 等參數來自于 `default.properties` ，這些都是寫死在配置文件：

接著在安裝過程中會調用 `addPredefinedPermittedDisabledUser` ：

完成創建用戶操作并寫入數據庫。完成許可證輸入后就可以開始使用：

新增的硬編碼用戶具有管理員權限：

由于傳播、利用此文檔提供的信息而造成任何直接或間接的后果及損害，均由使用本人負責，且聽安全及文章作者不為此承擔任何責任。