Пользователи нескольких популярных продуктов Atlassian, в том числе Jira, Confluence и Bamboo, могут быть уязвимы для двух уязвимостей высокой степени серьезности, которые позволяют удаленно выполнять код и повышать привилегии.
Как сообщает РегистрAtlassian недавно выпустил предупреждение, в котором подробно описаны «уязвимости диспетчера Servlet Filter».
Первая уязвимость отслеживается как CVE-2022-26136, произвольный обход фильтра сервлетов, позволяющий злоумышленникам обходить настраиваемые фильтры сервлетов, которые сторонние приложения используют для аутентификации. Все, что им нужно сделать, это отправить специальный вредоносный HTTP-запрос.
Как глубока кроличья нора
Хотя Atlassian заявляет, что уже устранила проблему, это касается только некоторых ее продуктов, а полная степень уязвимости до сих пор неизвестна.
«Atlassian выпустила обновления, устраняющие основную причину этой уязвимости, но не перечислила исчерпывающим образом все потенциальные последствия этой уязвимости», — говорится в сообщении. читает (откроется в новой вкладке).
Кроме того, компания объяснила, как тот же недостаток можно использовать в атаке с использованием межсайтовых сценариев. Используя собственный HTTP-запрос, злоумышленник может обойти фильтр сервлетов, который проверяет подлинность гаджетов Atlassian. «Злоумышленник, который может обманом заставить пользователя запросить вредоносный URL-адрес, может выполнить произвольный JavaScript в браузере пользователя», — заявили в компании.
Вторая уязвимость отслеживается как CVE-2022-26137 и описывается как обход совместного использования ресурсов между источниками (CORS).
«Отправка специально созданного HTTP-запроса может вызвать фильтр сервлетов, используемый для ответа на запросы CORS, что приводит к обходу CORS», — сказал Атлассиан. «Злоумышленник, который может обманом заставить пользователя запросить вредоносный URL-адрес, может получить доступ к уязвимому приложению с помощью разрешения.”
Хотя эти два недостатка были обнаружены в нескольких продуктах Atlassian, был еще один, обнаруженный только в Confluence. Уязвимость CVE-2022-26138 на самом деле представляет собой жестко запрограммированный пароль, созданный для облегчения миграции в облако.
«Приложение Atlassian Questions For Confluence для Confluence Server и Data Center создает учетную запись пользователя Confluence в группе confluence-users с именем пользователя disabledsystemuser и жестко заданным паролем. Удаленный злоумышленник, не прошедший проверку подлинности и знающий жестко запрограммированный пароль, может использовать это, чтобы войти в Confluence и получить доступ ко всему контенту, доступному пользователям из группы confluence-users», — заключила компания.
Сообщалось, что облачные версии продуктов Atlassian были исправлены, а версии, размещенные на корпоративных конечных точках, необходимо обновлять вручную.
С помощью: Регистр (откроется в новой вкладке)
