「Confluence」の特定アプリに深刻な脆弱性 - 削除済みでも要対応
Atlassianが提供する「Confluence Server」「Confluence Data Center」に「Questions for Confluence App」を導入すると、特定のパスワードを用いるアカウントが作成される脆弱性が明らかとなった。パスワードはSNS上で公開されており、悪用のリスクが高まっている。
同アプリは、「Confluence Server」「Confluence Data Center」においてQ&A形式により情報を共有できるAtlassian製のMarketplaceアプリ(旧アドオン)。
「同3.0.2」「同2.7.35」「同2.7.34」を有効化すると、「Confluence Cloud」にデータを移行するためのユーザーアカウント「disabledsystemuser」が作成されるが、パスワードがハードコードされている脆弱性「CVE-2022-26138」が明らかとなったもの。
問題のアカウントは、グループ「confluence-users」に追加されるため、ハードコードされたパスワードを用いることで、同権限を用いて第三者がページを表示したり、編集することが可能となる。
Atlassianでは、脆弱性の重要度を4段階中もっとも高い「クリティカル(Critical)」と評価。すでにハードコードされたパスワードは、Twitter上で公開されており、悪用される可能性が高いとし、対象となるシステムでは早急に対応するよう求めている。
(Security NEXT - 2022/07/25 )
ツイート
PR
関連記事
Palo Alto「GlobalProtect App」に無効化できる脆弱性 - Linux版のみ影響
「HashiCorp Vault」に複数の脆弱性 - 「クリティカル」も
プロキシサーバ「Squid」に深刻な脆弱性 - アップデートで修正
「Microsoft Edge」にセキュリティアップデート - 脆弱性1件を解消
「Chrome」にアップデート - セキュリティ関連の修正4件
米当局、悪用脆弱性に6件追加 - SharePoint関連はランサムも悪用
「Apache httpd」のアクセス制御に脆弱性 - 条件分岐が常時「真」に
一部「SonicOS」のSSL VPNに脆弱性 - DoS攻撃のおそれ
Apple、「macOS Sequoia 15.6」など公開 - 脆弱性87件を修正
「PowerCMS」に6件の脆弱性 - 修正版が公開
