Kritische Lecks in Atlassian-Produkten
Quelle: Atlassian

Kritische Lecks in Atlassian-Produkten

In den meisten Atlassian-Lösungen klaffen kritische Sicherheitslücken, die unter anderem Unbefugten die Anmeldung an den Systemen ermöglichen. Patches existieren bereits, ein Update wird dringend empfohlen.
24. Juli 2022

     

Diverse Anwendungen und Dienste von Atlassian leiden an zwei gravierenden Schwachstellen. Das Leck CVE-2022-26136 erlaubt es Angreifern, über Apps von Drittanbietern die Authentifizierung zu umgehen und ermöglicht Cross-Site-Scripting. Über die zweite Schwachstelle, CVE-2022-26137, lassen sich mithilfe von manipulierten URLs Zugangsberechtigungen unbefugt erlangen. Es handelt sich laut dem CVE-Eintrag dabei um einen sogenannten Cross-origin Resource (CORS) Bypass. Von diesen beiden Schwachstellen sind praktisch alle Atlassian-Lösungen betroffen: Bamboo, Bitbucket, Confluence, Crowd, Crucible, Fisheye und Jira.


Ein drittes Leck betrifft laut den Sicherheitshinweisen von Atlassian nur die Questions for Confluence App, ist aber irgendwie besonders peinlich: Bei CVE-2022-26138 geht es um einen a priori angelegten User namens disabledsystemuser mit einem hartcodierten Passwort. Atlassian hat für alle geschilderten Schwachstellen und Produkte inzwischen gepatchte Versionen veröffentlicht. (ubi)


Weitere Artikel zum Thema

Atlassian-Dienste: Ausfall könnte noch Wochen dauern

12. April 2022 - Rund 400 Nutzer der beiden Atlassian-Dienste Confluence und Jira können schon seit über einer Woche nicht mehr darauf zugreifen. Nun erklärt das Unternehmen, dass der Ausfall noch bis zu zwei Wochen dauern könnte.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER