Atlassian 修復了一個關鍵的 Confluence 漏洞

Atlassian 發布了安全更新，以解決影響 Confluence Server 和 Confluence Data Center 的嚴重安全漏洞。

Atlassian 發布了安全更新，以解決 Confluence 服務器和數據中心中的一個嚴重硬編碼憑據漏洞，該漏洞被跟蹤為 CVE-2022-26138。

未經身份驗證的遠程攻擊者可以利用該漏洞登錄未打補丁的服務器。

一旦安裝了 Questions for Confluence 應用程序（版本 2.7.34、2.7.35 和 3.0.2），就會創建一個用戶名為“ disabledsystemuser ”的 Confluence 用戶帳戶。

根據 Atlassian 的說法，該帳戶允許管理員將數據從應用程序遷移到 Confluence Cloud。壞消息是該帳戶是使用硬編碼密碼創建的，并被添加到 confluence-users 組，默認情況下允許查看和編輯 Confluence 中的所有非受限頁面。

“當 Confluence Server 或 Data Center 上的 Questions for Confluence 應用程序 啟用時，它會創建一個用戶名為 disabledsystemuser 的 Confluence 用戶帳戶。此帳戶旨在幫助將數據從應用程序遷移到 Confluence Cloud 的管理員。disabledsystemuser 帳戶是使用硬編碼密碼創建的，并添加到 confluence-users 組，默認情況下允許查看和編輯 Confluence 中的所有非受限頁面 。” 閱讀Atlassian 發布的公告。“知道硬編碼密碼的遠程、未經身份驗證的攻擊者可以利用它登錄 Confluence 并訪問該組可以訪問的任何頁面。”

受影響的版本是：

該公司指出，卸載 Questions for Confluence 應用程序并不能解決此漏洞，因為在卸載應用程序后，disabledsystemuser 帳戶不會被刪除。受影響的 Confluence Server 或 Data Center 實例的管理員可以通過以下操作修復此漏洞：

• 選項 1：更新到 Confluence 的非易受攻擊版本
• 選項 2：禁用或刪除 disabledsystemuser 帳戶

好消息是，Atlassian 并不知道利用此漏洞進行的攻擊。

要確定是否有人使用硬編碼密碼登錄到 disabledsystemuser 帳戶，管理員可以獲取用戶上次登錄時間的列表，如果硬編碼帳戶的上次身份驗證時間為空，則意味著該帳戶從未用于訪問設備。