Atlassian advirtió a los clientes que una vulnerabilidad podría usarse potencialmente en Preguntas de confluencia en ataques después de que alguien anunciara la información necesaria para explotar una vulnerabilidad abordada recientemente.

Questions to Meet, una aplicación para compartir conocimientos, ayuda a los usuarios a acceder o compartir información rápidamente con otros, así como a conectarse con expertos cuando sea necesario. La aplicación es un complemento de pago opcional y no está instalada de forma predeterminada en Confluence.

la semana pasada, manchas atlassianas pronunciadas Una vulnerabilidad de aplicación grave que afecta a los productos Confluence Server y Data Center.

El problema de seguridad se rastrea como CVE-2022-26138, porque cuando está habilitado en los productos afectados, Confluence Questions crea una cuenta de usuario con un nombre de usuario deshabilitado en el sistema y una contraseña cifrada.

Dado que la cuenta de usuario se agregó al grupo Usuarios de Confluence, puede acceder a páginas sin restricciones dentro de Confluence.

A fines de la semana pasada, Atlassian actualizó sus pautas para advertir que alguien había hecho pública la contraseña cifrada, brindar información adicional sobre cómo resolver el error y buscar indicadores de compromiso.

“La contraseña cifrada de Twitter ha sido descubierta y divulgada públicamente por un tercero. Es importante abordar esta vulnerabilidad en los sistemas afectados de inmediato”. Actualizar el aviso de Atlassian está leyendo.

Es probable que este problema se explote en la naturaleza ahora que la contraseña cifrada es conocida por el público. Esta vulnerabilidad en los sistemas afectados debe abordarse de inmediato.

Según Atlassian, actualmente hay más de 8000 instalaciones. Los sistemas que ejecutan Questions for Confluence 2.7.34, 2.7.35 o 3.0.2 se ven afectados, incluso si se elimina la aplicación.

“Desinstalar la aplicación Questions for Confluence no soluciona esta vulnerabilidad. Una cuenta de usuario deshabilitada no se elimina automáticamente después de desinstalar la aplicación”, advierte Atlassian.

La vulnerabilidad se resolvió liberando preguntas para ensamblado 2.7.38 (Compatible con Confluence 6.13.18 hasta 7.16.2) y 3.0.5 (Compatible con Confluence 7.16.3 y posteriores), que ya no contienen la contraseña cifrada y también Eliminar el usuario deshabilitado cuenta si fue creada previamente.

Sin embargo, Atlassian advierte que si Confluence está configurado para usar un directorio externo de solo lectura, los usuarios deben buscar y eliminar o deshabilitar manualmente la cuenta de usuario del sistema deshabilitada.

“Recomendamos actualizar las preguntas frecuentes de la aplicación Confluence que eliminará a este usuario del sistema. Si esto no es posible por algún motivo, debe deshabilitar o eliminar al usuario”, señala Atlassian en un archivo. Preguntas frecuentes sobre CVE-2022-26138.

Relacionado: Atlassian Patches corrige vulnerabilidades en el filtro Servlet que afectan a múltiples productos

Relacionado: Cisco corrige vulnerabilidades graves en el Nexus Dashboard

Relacionado: Oracle lanza 349 nuevos parches de seguridad con julio de 2022 para CPU

Yonut Argyer es corresponsal internacional de SecurityWeek.

Columnas anteriores de Ionut Arghire:

Etiquetas: