Atlassian修复了一个关键的Confluence漏洞

近期，Atlassian发布了安全更新，以解决Confluence服务器和数据中心中的一个严重硬编码凭据漏洞，该漏洞编号为CVE-2022-26138，未经身份验证的远程攻击者可以利用该漏洞登录未打补丁的服务器。一旦安装了Questions for Confluence 应用程序（版本 2.7.34、2.7.35 和 3.0.2），就会创建一个用户名为“ disabledsystemuser ”的 Confluence 用户帐户。根据 Atlassian的说法，该帐户允许管理员将数据从应用程序迁移到Confluence Cloud。并且该帐户是使用硬编码密码创建的，并被添加到 confluence-users组，默认情况下允许查看和编辑 Confluence中的所有非受限页面。

根据Atlassian 发布的公告，当Confluence Server或Data Center上的Questions for Confluence 应用程序启用时，它会创建一个用户名为 disabledsystemuser 的 Confluence 用户帐户。此帐户旨在帮助将数据从应用程序迁移到 Confluence Cloud 的管理员。disabledsystemuser 帐户是使用硬编码密码创建的，并被添加到 confluence-users 组中，默认情况下允许查看和编辑 Confluence 中的所有非受限页面 。 知道硬编码密码的未经身份验证的攻击者可以利用它登录 Confluence 并访问该组可以访问的任何页面。

该公司指出，卸载Questions for Confluence 应用程序并不能解决此漏洞，因为在卸载应用程序后，disabledsystemuser 帐户不会被删除。受影响的 Confluence Server 或 Data Center 实例的管理员可以通过以下操作修复此漏洞：

• 选项 1：更新到 Confluence 的非易受攻击版本
• 选项 2：禁用或删除 disabledsystemuser 帐户

幸运的是，目前Atlassian并没有收到利用此漏洞进行的野外攻击。要确定是否有人使用硬编码密码登录到 disabledsystemuser 帐户，管理员可以获取用户上次登录时间的列表，如果硬编码帐户的上次身份验证时间为空，则意味着该帐户从未用于访问设备。

当前标题：Atlassian修复了一个关键的Confluence漏洞
网站链接：http://www.mswzjz.cn/qtweb/news12/327212.html

攀枝花网站建设、攀枝花网站运维推广公司-贝锐智能，是专注品牌与效果的网络营销公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 贝锐智能