Atlassian の Questions for Confluence アプリでハードコードされた認証情報使用の脆弱性が確認されたそうだ
(セキュリティアドバイザリー、
Jira、
Neowin の記事、
CVE-2022-26138)。
Questions for Confluence はコラボレーションツール Confluence に Q&A 機能を追加するアプリ。脆弱性のあるバージョン (2.7.34 / 2.7.35 / 3.0.2) を Confluence Server または Data Center で有効にすると、パスワードがハードコードされた「disabledsystemuser」という名前のユーザーを confluence-users グループに作成するという。そのため、ハードコードされたパスワードを知るリモートの攻撃者は、これを悪用してログインし、confluence-users グループのユーザーのアクセスが認められたすべての情報へアクセス可能になる。
脆弱性はバージョン 2.7.38 / 3.0.5 で修正されており、アップデートすればアカウント disabledsystemuser が作成されなくなるほか、作成済みの場合は削除される。ただし、Confluence が Atlassian Crowd など読み取り専用の外部ディレクトリを使用する構成になっている場合、外部ディレクトリからユーザーを手作業で削除する必要があるとのことだ。
| ITセクション
| セキュリティ
| バグ
|
関連ストーリー:
北米で主要な病院の 80 % が使用する気送管システムに脆弱性
2021年08月05日
ZOLLの除細動器管理ソフトウェア、リモートからの任意コード実行など6件の脆弱性が公表される
2021年06月19日
タスク管理ツール「Trello」を公開設定で使っている企業が多数見つかり漏洩騒ぎに
2021年04月06日
フィリピン保健庁運営の医療従業者向けコロナアプリ、APIのURL直打ちで個人情報が見れる状態に
2020年11月16日
製品のセキュリティ問題で米連邦通信委員会と和解したD-Link、長期の監査を命じられる一方で不正は認められなかったと歓迎
2019年07月07日
Lenovoのファイル転送アプリケーション「SHAREit」に複数の脆弱性
2016年01月29日
ZTEのADSLモデム「ZXV10 W300」ではtelnetの認証情報がハードコードされていた
2014年02月06日
Source: スラッシュドット
