Atlassian retter kritiske Confluence "hardcoded" brugerid og password

Af Henrik Jensen, 21/07/22

Atlassian har rettet en kritisk sårbarhed med "hardcoded" legitimationsoplysninger i Confluence Server og Data Center, som uautoriserde kan bruge til at logge ind på sårbare, ikke-patchede servere.

De "hardcoded" legitimationsoplysninger er tilføjet efter installation af Questions for Confluence-appen (version 2.7.34, 2.7.35 og 3.0.2) på en "disabled system bruger", som oprindeligt var tiltænkt at administratorer ved migreringen af ​​data fra appen til Confluence Cloud.

Disse systemer og versioner har sårbarheden:

  • Questions for Confluence 2.7.x version 2.7.34 og 2.7.35
  • Questions for Confluence 3.0.x version 3.0.2

Man kan se om man har en sårbar version ved at tjekke for en aktiv brugerkonto med følgende oplysninger:

Bruger: disabledsystemuser
Brugernavn: disabledsystemuser
E-mail: dontdeletethisuser@email.com

Opdatering af Questions for Confluence-appen til en ny version (version 2.7.x >= 2.7.38 eller versioner højere end 3.0.5) vil løse problemet da den nye version fjerner brugeren, hvis den findes.

Oplysninger om sårbarheden findes her: https://confluence.atlassian.com/doc/questions-for-confluence-security-advisory-2022-07-20-1142446709.html

For at deaktivere eller slette kontoen kan du bruge de detaljerede trin på dette link:

https://confluence.atlassian.com/doc/delete-or-disable-users-138318.html

Keywords: 
Atlassian
uautoriseret adgang
hardcoded