Atlassianは、製品ライン全体に重大な欠陥を明らかにしました•The Register

Atlassianは、Bamboo、Bitbucket、Confluence、Fisheye、Crucible、およびJira製品のユーザーに、2つの重大な欠陥がセキュリティを脅かしていることを警告しています。

会社 7月のセキュリティアラート 詳細な「サーブレットフィルタディスパッチの脆弱性」。

その欠点の- CVE-2022-26136 サーブレットフィルタの任意のバイパスとして説明されます。これは、攻撃者がサードパーティアプリケーションが認証を強制するために使用するカスタムサーブレットフィルタをバイパスするように特別に設計されたHTTPリクエストを送信できることを意味します。

怖いのは、この欠陥により、認証されていないリモートの攻撃者がサードパーティのアプリで使用されている認証をバイパスできることです。 本当に怖いのは、Atlassianに影響を受ける可能性のあるアプリケーションの特定のリストがないことです。

「Atlassianはこの脆弱性の根本原因を修正するアップデートをリリースしましたが、この脆弱性の潜在的な結果をすべて包括的にリストしているわけではありません」と彼女は付け加えました。

同じCVEは、クロスサイトスクリプティング攻撃でも悪用される可能性があります。カスタムビルドのHTTPリクエストは、正規のAtlassianツールの検証に使用されるサーブレットフィルターをバイパスできます。 「ユーザーをだまして悪意のあるURLを要求させる可能性のある攻撃者は、ユーザーのブラウザで任意のJavaScriptを実行する可能性があります」とAtlassian氏は説明します。

2番目の欠点- CVE-2022-26137 -クロスオリジンリソースシェアリング（CORS）のバイパス。

Atlassianは、次のように説明しています。「カスタム設計のHTTPリクエストを送信すると、CORSをバイパスして、CORSリクエストへの応答に使用されるサーブレットフィルタを呼び出すことができます。ユーザーをだまして悪意のあるURLをリクエストさせる攻撃者は、被害者の許可。”。

Confluenceユーザーには、次の点について心配する必要があるもう1つの欠点があります。 CVE-2022-26138 それらの1つが Confluenceアプリ クラウドへの移行に役立つ静的に暗号化されたパスワードが含まれています。 彼が説明しました：

そのパスワードが悪用された場合、Confluenceは開かれた本です。

古いバージョンのAtlassian製品には欠陥があります。 修正がリリースされており、アップグレードが必要です。 Atlassianによってホストされている製品の曇ったバージョンはすでに修正されています。

脆弱性のニュースは、アトラシアンのニュースからわずか6週間後に届きます 入場料 合流点のもう1つの重大な欠陥は、積極的な攻撃を受けていました。

記録 これらの新しいファンタジーは、悪意のあるアクターの注意も引き付けます。 CVE-2022-26136は、アトラシアン製品への道を提供する可能性のある、そしてそこから厄介なJavaScriptにあらゆる種類の損害を与えるという、長い間忘れられていた統合を探求する絶好の機会である可能性があります。

このような攻撃の有無にかかわらず、アトラシアンは困難な年でした。 3つの重大な欠陥が何年にもわたって製品に存在してきました-そして 恥ずかしい雲の中断 それは、組織の顧客が大切にしていることの1つではありません。 ®