Atlassian страдает от множества ужасных проблем с безопасностью
21 июля 2022 г.Пользователи нескольких популярных продуктов Atlassian, в том числе Jira, Confluence и Bamboo, могут быть подвержены двум уязвимостям высокой степени серьезности, которые делают возможным удаленное выполнение кода и повышение привилегий.
Как сообщает The Register, компания Atlassian недавно выпустила предупреждение, в котором подробно описаны «уязвимости диспетчера Servlet Filter».
Первая уязвимость отслеживается как CVE- 2022-26136, произвольный обход фильтра сервлетов, позволяющий злоумышленникам обходить настраиваемые фильтры сервлетов, которые сторонние приложения используют для аутентификации. Все, что им нужно сделать, это отправить специальный вредоносный HTTP-запрос.
Насколько глубока кроличья нора
Несмотря на то, что Atlassian заявляет, что уже устранила проблему, это относится только к некоторым из ее продуктов, при этом полная степень уязвимости до сих пор неизвестна.
«Atlassian выпустила обновления, устраняющие основную причину этой уязвимости, но не перечислил исчерпывающим образом все потенциальные последствия этой уязвимости», — говорится в бюллетене по безопасности читает.
Кроме того, компания объяснила, как тот же недостаток можно использовать в атаке с использованием межсайтовых сценариев. Используя собственный HTTP-запрос, злоумышленник может обойти фильтр сервлетов, который проверяет подлинность гаджетов Atlassian. «Злоумышленник, который может обманом заставить пользователя запросить вредоносный URL-адрес, может выполнить произвольный JavaScript в браузере пользователя», — заявили в компании.
Вторая уязвимость отслеживается как CVE-2022-26137 и описывается как обход совместного использования ресурсов между источниками (CORS).
"Отправка специально созданного HTTP-запроса может активировать используемый фильтр сервлетов. для ответа на запросы CORS, что приводит к обходу CORS», — сказал Atlassian. «Злоумышленник, который может обманом заставить пользователя запросить вредоносный URL-адрес, может получить доступ к уязвимому приложению с разрешениями жертвы».
При этом эти два недостатка были обнаружены в нескольких продуктах Atlassian, был еще один, найденный только в Confluence. Уязвимость CVE-2022-26138 на самом деле представляет собой жестко запрограммированный пароль, созданный для облегчения миграции в облако.
«Приложение Atlassian Questions For Confluence для Confluence Server и Data Center создает учетную запись пользователя Confluence в группе confluence-users с именем пользователя disabledsystemuser и жестко заданным паролем. Удаленный злоумышленник, не прошедший проверку подлинности и знающий жестко закодированный пароль, может использовать это, чтобы войти в Confluence и получить доступ ко всему контенту, доступному пользователям из группы confluence-users», — заключила компания.
Сообщается, что облачные версии продуктов Atlassian были исправлены, а версии, размещенные на корпоративных конечных точках, необходимо обновлять вручную.
- Вот наш взгляд на лучшую защиту конечных точек прямо сейчас
Через: Реестр
Оригинал