Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-04612

Опубликовано: 21 июл. 2022
Источник: fstec
CVSS3: 8.6
CVSS2: 9
EPSS Критический

Описание

Уязвимость приложения Questions for Confluence веб-сервера Atlassian Confluence Server и дата центра Confluence Data Center связана с возможностью использования жестко закодированных учетных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить полный доступ к программному обеспечению с правами группы confluence-users

Вендор

Atlassian

Наименование ПО

Data Center
Confluence Server
Questions For Confluence

Версия ПО

до 7.4.17 (Data Center)
до 7.14.3 (Data Center)
до 7.15.2 (Data Center)
до 7.16.4 (Data Center)
до 7.16.4 (Confluence Server)
до 7.15.2 (Confluence Server)
до 7.14.3 (Confluence Server)
до 7.4.17 (Confluence Server)
до 2.7.38 (Questions For Confluence)
до 3.0.5 (Questions For Confluence)
до 7.13.6 (Confluence Server)
до 7.17.2 (Confluence Server)
до 7.13.6 (Data Center)
до 7.17.2 (Data Center)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,6)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Использование рекомендаций производителя:
https://confluence.atlassian.com/doc/confluence-security-advisory-2022-07-20-1142446709.html
https://jira.atlassian.com/browse/CONFSERVER-79483
https://confluence.atlassian.com/doc/delete-or-disable-users-138318.html
Компенсирующие меры:
- отключение или удаление учетной записи пользователя disabledsystemuser.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.94258
Критический

8.6 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-26138

CVSS3: 9.8
nvd
почти 3 года назад

The Atlassian Questions For Confluence app for Confluence Server and Data Center creates a Confluence user account in the confluence-users group with the username disabledsystemuser and a hardcoded password. A remote, unauthenticated attacker with knowledge of the hardcoded password could exploit this to log into Confluence and access all content accessible to users in the confluence-users group. This user account is created when installing versions 2.7.34, 2.7.35, and 3.0.2 of the app.

github логотип

GHSA-23xf-wg9r-49fr

CVSS3: 9.8
github
почти 3 года назад

The Atlassian Questions For Confluence app for Confluence Server and Data Center creates a Confluence user account in the confluence-users group with the username disabledsystemuser and a hardcoded password. A remote, unauthenticated attacker with knowledge of the hardcoded password could exploit this to log into Confluence and access all content accessible to users in the confluence-users group. This user account is created when installing versions 2.7.34, 2.7.35, and 3.0.2 of the app.

EPSS

Процентиль: 100%
0.94258
Критический

8.6 High

CVSS3

9 Critical

CVSS2

Уязвимость BDU:2022-04612