Kritische Lecks in Atlassian-Produkten

(Quelle: Atlassian)

Kritische Lecks in Atlassian-Produkten

(Quelle: Atlassian)
24. Juli 2022 - In den meisten Atlassian-Lösungen klaffen kritische Sicherheitslücken, die unter anderem Unbefugten die Anmeldung an den Systemen ermöglichen. Patches existieren bereits, ein Update wird dringend empfohlen.
Diverse Anwendungen und Dienste von Atlassian leiden an zwei gravierenden Schwachstellen. Das Leck CVE-2022-26136 erlaubt es Angreifern, über Apps von Drittanbietern die Authentifizierung zu umgehen und ermöglicht Cross-Site-Scripting. Über die zweite Schwachstelle, CVE-2022-26137, lassen sich mithilfe von manipulierten URLs Zugangsberechtigungen unbefugt erlangen. Es handelt sich laut dem CVE-Eintrag dabei um einen sogenannten Cross-origin Resource (CORS) Bypass. Von diesen beiden Schwachstellen sind praktisch alle Atlassian-Lösungen betroffen: Bamboo, Bitbucket, Confluence, Crowd, Crucible, Fisheye und Jira.

Ein drittes Leck betrifft laut den Sicherheitshinweisen von Atlassian nur die Questions for Confluence App, ist aber irgendwie besonders peinlich: Bei CVE-2022-26138 geht es um einen a priori angelegten User namens disabledsystemuser mit einem hartcodierten Passwort. Atlassian hat für alle geschilderten Schwachstellen und Produkte inzwischen gepatchte Versionen veröffentlicht. (ubi)

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER