ID管理製品「Atlassian Crowd」に深刻な脆弱性

ID管理やシングルサインオンなどの機能を提供する「Atlassian Crowd」の「REST API」機能に深刻な脆弱性が明らかとなった。アップデートにて修正されている。

セキュリティ設定のミスに乗じて攻撃者がクラウドアプリケーションとして認証され、「REST API」により特権のエンドポイントを呼び出すことが可能となる脆弱性「CVE-2022-43782」が明らかとなったもの。同脆弱性については、許可リストに追加されたIPアドレスからのみ悪用が可能であるとしている。

同社は共通脆弱性評価システム「CVSSv3」においてベーススコアを「9.1」、重要度を「クリティカル（Critical）」とレーティングしている。適用優先度は「低（Low）」とした。

一方、米国立標準技術研究所（NIST）の脆弱性データベース「NVD」では、CVSS基本値を「9.8」、重要度を「クリティカル（Critical）」と評価している。

脆弱性を修正した「同5.1.0」「同5.0.3」「同4.4.4」へアップデートするか、アップデートができない場合は、アクセスを許可するIPアドレスの削除など回避策を講じるよう同社では呼びかけている。

（Security NEXT - 2022/11/28 ） ツイート

PR

関連記事

過去年度の申請書を誤って廃棄か - 長崎県警
労働力調査の調査世帯一覧表を紛失 - 栃木県
本の雑誌社のXアカウントが乗っ取り被害 - 注意を呼びかけ
アフラック契約者サイトなどで顧客約438万人の個人情報が流出
中学校でサポート詐欺被害、端末内部に個人情報 - 石垣市
サーバ管理ソフトの脆弱性突かれ、不正アクセス被害 - アイコムソフト
国内ISPのメールアカウント乗っ取りに注意 - 便乗攻撃にも警戒を
メッセージアプリが標的、要人狙う露フィッシング - 米当局
サポートツール「SimpleHelp」の脆弱性悪用を確認 - 米当局が注意喚起
メルアカに不正アクセス、個人情報流出の可能性 - オークション事業者