Questions for Confluence アプリ、ハードコードされた認証情報使用の脆弱性 1
ストーリー by headless
面倒 部門より
面倒 部門より
Atlassian の Questions for Confluence アプリでハードコードされた認証情報使用の脆弱性が確認されたそうだ
(セキュリティアドバイザリー、
Jira、
Neowin の記事、
CVE-2022-26138)。
Questions for Confluence はコラボレーションツール Confluence に Q&A 機能を追加するアプリ。脆弱性のあるバージョン (2.7.34 / 2.7.35 / 3.0.2) を Confluence Server または Data Center で有効にすると、パスワードがハードコードされた「disabledsystemuser」という名前のユーザーを confluence-users グループに作成するという。そのため、ハードコードされたパスワードを知るリモートの攻撃者は、これを悪用してログインし、confluence-users グループのユーザーのアクセスが認められたすべての情報へアクセス可能になる。
脆弱性はバージョン 2.7.38 / 3.0.5 で修正されており、アップデートすればアカウント disabledsystemuser が作成されなくなるほか、作成済みの場合は削除される。ただし、Confluence が Atlassian Crowd など読み取り専用の外部ディレクトリを使用する構成になっている場合、外部ディレクトリからユーザーを手作業で削除する必要があるとのことだ。
Questions for Confluence はコラボレーションツール Confluence に Q&A 機能を追加するアプリ。脆弱性のあるバージョン (2.7.34 / 2.7.35 / 3.0.2) を Confluence Server または Data Center で有効にすると、パスワードがハードコードされた「disabledsystemuser」という名前のユーザーを confluence-users グループに作成するという。そのため、ハードコードされたパスワードを知るリモートの攻撃者は、これを悪用してログインし、confluence-users グループのユーザーのアクセスが認められたすべての情報へアクセス可能になる。
脆弱性はバージョン 2.7.38 / 3.0.5 で修正されており、アップデートすればアカウント disabledsystemuser が作成されなくなるほか、作成済みの場合は削除される。ただし、Confluence が Atlassian Crowd など読み取り専用の外部ディレクトリを使用する構成になっている場合、外部ディレクトリからユーザーを手作業で削除する必要があるとのことだ。
仮想通貨でもあったな (スコア:0)
昔faucet(広告の代わりにお金くれる)機能付きのアプリで仮想通貨の秘密鍵がハードコードされてたことあったな。
Androidアプリは解析がめっちゃ簡単だし…。
作者に通報したが、正直ネコババの誘惑は強かった。
アカウントのID/Passを既定にしておけば色々楽なので気持ちは分かる。
ちょっとしたアプリだとファイルの同期を適当に作ったアカウントのGoogle Driveとかでやってることありそう。