Atlassian varoval používateľov svojich produktov Bamboo, Bitbucket, Confluence, Fisheye, Crucible a Jira, že pár kriticky posúdených zraniteľností ohrozuje ich bezpečnosť.
spoločnosti Júlové bezpečnostné tipy Popis „Chyby zabezpečenia odosielateľa servletového filtra.“
Jednou z nevýhod je – CVE-2022-26136 – Popísané ako ľubovoľné obídenie filtra servletov, čo znamená, že útočník môže odoslať špeciálne pripravenú požiadavku HTTP na obídenie vlastných filtrov servletov používaných aplikáciami tretích strán na vykonanie autentifikácie.
Strašidelnou časťou je, že táto chyba umožňuje vzdialeným, neoprávneným útočníkom obísť autentifikáciu používanú aplikáciami tretích strán. Najstrašidelnejšie na tom je, že Atlassian nemá definitívny zoznam zraniteľných aplikácií.
„Atlassian vydal aktualizácie, ktoré opravujú hlavnú príčinu tejto zraniteľnosti, ale neuvádzajú úplný zoznam všetkých možných dôsledkov tejto zraniteľnosti,“ dodal.
Rovnaký CVE môže byť použitý aj pri cross-site scripting útoku: špeciálne vytvorená HTTP požiadavka môže obísť servletový filter používaný na overenie legitímnych Atlassian gadgetov. „Útočník, ktorý dokáže oklamať používateľa, aby požiadal o škodlivú adresu URL, môže v prehliadači používateľa spustiť ľubovoľný JavaScript,“ vysvetľuje Atlassian.
Druhý nedostatok – CVE-2022-26137 – Obídenie zdieľania zdrojov medzi zdrojmi (CORS).
Atlassian to vysvetľuje nasledovne: „Odoslanie špeciálne upravenej HTTP požiadavky využíva filter servletov používaný na odpovedanie na požiadavky CORS, čo má za následok obídenie CORS. Útočník, ktorý oklame používateľa, aby požiadal o škodlivú URL, môže získať prístup k zraniteľnej aplikácii. Povolenia obete .“
Používatelia Confluence sa musia obávať ešte jednej nevýhody: CVE-2022-26138 Odhaľuje, že jeden z nich Aplikácie Confluence Obsahuje pevne zakódované heslo, ktoré vám pomôže pri migrácii do cloudu. Vysvetľovalo:
Ak sa toto heslo dostane do nesprávnych rúk, implementácia Confluence je otvorenou knihou.
Mnoho rokov staré verzie produktov Atlassian majú nedostatky. Poskytujú sa opravy a vyžadujú sa aktualizácie. Zamračené verzie produktov od Atlassian sú už opravené.
Správy o zraniteľnostiach prichádzajú šesť týždňov po Atlassianovej Zápis Ďalšou dôležitou nevýhodou sútoku je aktívny útok.
Registrovať Tieto novinky zaujmú aj zlomyseľných hercov. CVE-2022-26136 predstavuje významnú príležitosť na preskúmanie dávno zabudnutých integrácií z hľadiska ich potenciálu poskytnúť cestu k produktom Atlassian a odtiaľ narobiť najrôznejšie škody pomocou kúsku škodlivého JavaScriptu.
S takýmito útokmi alebo bez nich má Atlassian za sebou ťažký rok. Tri kritické chyby, ktoré sú vo výrobkoch roky – a jedna Nepríjemné výpadky cloudu – Nie je to niečo, čo by firemní zákazníci ocenili. ®
Popová kultúra. Nie je možné písať so zapnutými boxerskými rukavicami. Zlý hráč. Unapologetická hudba fanatická.“
