パスワードを忘れた? アカウント作成
15738960 story
バグ

Questions for Confluence アプリ、ハードコードされた認証情報使用の脆弱性 1

ストーリー by headless
面倒 部門より
Atlassian の Questions for Confluence アプリでハードコードされた認証情報使用の脆弱性が確認されたそうだ (セキュリティアドバイザリーJiraNeowin の記事CVE-2022-26138)。

Questions for Confluence はコラボレーションツール Confluence に Q&A 機能を追加するアプリ。脆弱性のあるバージョン (2.7.34 / 2.7.35 / 3.0.2) を Confluence Server または Data Center で有効にすると、パスワードがハードコードされた「disabledsystemuser」という名前のユーザーを confluence-users グループに作成するという。そのため、ハードコードされたパスワードを知るリモートの攻撃者は、これを悪用してログインし、confluence-users グループのユーザーのアクセスが認められたすべての情報へアクセス可能になる。

脆弱性はバージョン 2.7.38 / 3.0.5 で修正されており、アップデートすればアカウント disabledsystemuser が作成されなくなるほか、作成済みの場合は削除される。ただし、Confluence が Atlassian Crowd など読み取り専用の外部ディレクトリを使用する構成になっている場合、外部ディレクトリからユーザーを手作業で削除する必要があるとのことだ。
  • by Anonymous Coward on 2022年07月24日 6時41分 (#4294780)

    昔faucet(広告の代わりにお金くれる)機能付きのアプリで仮想通貨の秘密鍵がハードコードされてたことあったな。
    Androidアプリは解析がめっちゃ簡単だし…。
    作者に通報したが、正直ネコババの誘惑は強かった。

    アカウントのID/Passを既定にしておけば色々楽なので気持ちは分かる。
    ちょっとしたアプリだとファイルの同期を適当に作ったアカウントのGoogle Driveとかでやってることありそう。

    ここに返信
typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...