La semana pasada, Atlassian reveló fallos importantes en su línea de productos publicando en ese momento los respectivos parches. El fallo que está siendo explotado concretamente es CVE-2022-26138 considerada de gravedad crítica.
Advirtieron que «un atacante remoto, no autenticado, con conocimiento de la contraseña codificada,podrían explotar esto para iniciar sesión en Confluence y acceder a cualquier página a la que el grupo confluence-users tenga acceso».
Días después de que lanzaran los parches, la compañía actualizó su aviso para advertir que se habían hecho pública la contraseña codificada, instando a las organizaciones que actualicen lo antes posible.
«Este problema es probable que sea explotado ahora que la contraseña codificada es conocida públicamente. Esta vulnerabilidad debe ser remediada en los sistemas afectados inmediatamente», dijo Atlassian.
La explotación de la vulnerabilidad ya está en marcha y parece que se observaron algunos intentos de ataque, incluso antes de que Atlassian emitiera la advertencia. Cabe destacar que el fallo solo existe cuando la aplicación ‘Questions for Confluence’ está activada.
Las versiones parcheadas de la aplicación también eliminan la cuenta de usuario ‘disabledsystemuser’ si se creó previamente. Sin embargo, si se elimina la aplicación ‘Questions for Confluence’ sin actualizar, no se elimina la cuenta y los usuarios tienen que eliminar o desactivar la cuenta manualmente.
El fallo afecta a las versiones 2.7.34, 2.7.35 y 3.0.2 de ‘Questions for Confluence‘ y se ha resuelto con el lanzamiento de las versiones 2.7.38 (compatible con Confluence 6.13.18 hasta 7.16.2) y 3.0.5 (compatible con Confluence 7.16.3 y posteriores).
‘Questions for Confluence’ tiene más de 8.000 instalaciones, según el sitio web de Atlassian.
fuente: unaaldia