Atlassian推出关键汇流漏洞安全补丁

Atlassian已推出修复程序，以修复与使用硬编码凭据有关的严重安全漏洞，该漏洞会影响Confluence Server和Confluence Data Center的Confluence应用程序问题。

缺陷，跟踪为CVE-2022-26138，当所讨论的应用程序在两个服务中的任何一个上启用时，会出现这种情况，导致它创建一个用户名为“disabledsystemuser”的合流用户帐户

Atlassian说，虽然这个账户是为了帮助管理员将应用程序中的数据迁移到Confluence云，但它也是用硬编码密码创建的，在默认情况下，有效地允许查看和编辑Confluence中的所有非限制页面。

“知道硬编码密码的远程未经验证的攻击者可以利用此漏洞登录到Confluence，并访问Confluence用户组可以访问的任何页面，”该公司在一份咨询中表示，并补充说“下载并查看受影响的应用程序版本后，获得硬编码密码很容易”。

Confluence版本2.7.34、2.7.35和3.0.2的问题受到该漏洞的影响，版本2.7.38和3.0.5中提供了修复。或者，用户可以禁用或删除disabledsystemuser帐户。

虽然Atlassian指出，没有证据表明有人在积极利用该漏洞，但用户可以通过检查帐户的上次身份验证时间来寻找泄露迹象。“如果disabledsystemuser的最后一次身份验证时间为空，这意味着该帐户存在，但从未有人登录过，”它说。

另外，这家澳大利亚软件公司还着手修补一对关键缺陷，称之为servlet filter dispatcher漏洞，影响了多个产品

• Bitbucket服务器和数据中心
• 群组服务器和数据中心
• 鱼眼和坩埚
• Jira服务器和数据中心，以及
• Jira服务管理服务器和数据中心

成功利用这些漏洞（追踪为CVE-2022-26136和CVE-2022-26137）可以使未经验证的远程攻击者绕过第三方应用程序使用的身份验证，执行任意JavaScript代码，并通过发送巧尽心思构建的HTTP请求绕过跨源资源共享（CORS）浏览器机制。

该公司在关于CVE-2022-26137的咨询中警告称：“Atlassian已发布更新，修复了该漏洞的根本原因，但尚未详尽列举该漏洞的所有潜在后果”。