Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Zahardkodowane hasło w jednym z pluginów do Confluence. Daje nieuwierzytelniony dostęp do ~wszystkich danych. CVE-2022-26138
Wygląda to trochę jak backdoor.
Problem występuje w pluginie Questions for Confluence, a Atlassian pisze o temacie w ten sposób:
The disabledsystemuser account is created with a hardcoded password and is added to the confluence-users group, which allows viewing and editing all non-restricted pages within Confluence by default. A remote, unauthenticated attacker with knowledge of the hardcoded password could exploit this to log into Confluence and access any pages the confluence-users group has access to.
„Szczęśliwe” credentiale to:
- User: disabledsystemuser
- Username: disabledsystemuser
- Email: dontdeletethisuser@email.com
- Password: [podrzucimy-w-update-newsa]
Co ciekawe, użytkownik nie jest usuwany, nawet jeśli usuniemy feralny plugin (użytkownika należy usunąć ręcznie):
Jeden z komentujących podatność słusznie zauważa:
The fact this something like this ended up in a production release is pretty mind boggling.
Really demonstrates a lack of good practices being followed for development/testing/approval for release to consumers.
~ms
Starczy dekompilacja jar-a
https://www.youtube.com/watch?v=DxNGdjFg4FI
tak ;) https://twitter.com/fluepke/status/1549892089181257729
Równie nienormalne wydaje mi się, że system wtyczek może sobie ot tak machnąć konto z takimi uprawnieniami. Ale od dawna uważam, że Confluence i Jira to takie WordPressy w świecie IT.