Diverse Anwendungen und Dienste von
Atlassian leiden an zwei gravierenden Schwachstellen. Das Leck
CVE-2022-26136 erlaubt es Angreifern, über Apps von Drittanbietern die Authentifizierung zu umgehen und ermöglicht Cross-Site-Scripting. Über die zweite Schwachstelle,
CVE-2022-26137, lassen sich mithilfe von manipulierten URLs Zugangsberechtigungen unbefugt erlangen. Es handelt sich laut dem CVE-Eintrag dabei um einen sogenannten Cross-origin Resource (CORS) Bypass. Von diesen beiden Schwachstellen sind praktisch alle Atlassian-Lösungen betroffen: Bamboo, Bitbucket, Confluence, Crowd, Crucible, Fisheye und Jira.
Ein drittes Leck betrifft laut den
Sicherheitshinweisen von Atlassian nur die Questions for Confluence App, ist aber irgendwie besonders peinlich: Bei
CVE-2022-26138 geht es um einen a priori angelegten User namens disabledsystemuser mit einem hartcodierten Passwort. Atlassian hat für alle geschilderten Schwachstellen und Produkte inzwischen gepatchte Versionen veröffentlicht.
(ubi)