Dlaczego hackowanie aplikacji webowych jest proste? Zapisz się na darmowe szkolenie od sekuraka.

Tag: confluence

Zahardkodowane hasło w jednym z pluginów do Confluence. Daje nieuwierzytelniony dostęp do ~wszystkich danych. CVE-2022-26138

21 lipca 2022, 10:48 | W biegu | komentarze 3
Zahardkodowane hasło w jednym z pluginów do Confluence. Daje nieuwierzytelniony dostęp do ~wszystkich danych. CVE-2022-26138

Wygląda to trochę jak backdoor. Problem występuje w pluginie Questions for Confluence, a Atlassian pisze o temacie w ten sposób:  The disabledsystemuser account is created with a hardcoded password and is added to the confluence-users group, which allows viewing and editing all non-restricted pages within Confluence by default. A remote, unauthenticated attacker with knowledge of the hardcoded password…

Czytaj dalej »

0-day (już załatany) na Confluence – uwaga na CVE-2022-26134

03 czerwca 2022, 13:27 | Aktualności, W biegu | komentarzy 9

Aktualizacja: dostępna jest już łatka. Confluence poinformował o istnieniu aktywnie wykorzystywanego błędu typu 0-day na każdą obecnie wspieraną wersję Confluence. Błąd dotyczy tylko instancji on-prem, bo wersja cloud jest już załatana. Błąd pozwala na wykonanie dowolnego kodu po stronie serwera bez potrzeby uwierzytelnienia. Został on odkryty przez firmę Volexity, która…

Czytaj dalej »