Hackernews 编译,转载请注明出处:
一周前,Atlassian为Confluence Server和Confluence Data Center的Confluence应用程序发布了补丁,其中包含一个关键漏洞,现在这个漏洞已经被广泛利用。
该漏洞追踪为CVE-2022-26138,它涉及在应用程序中使用硬编码密码,未经验证的远程攻击者可能会利用该密码获得对Confluence中所有页面的无限制访问权。
在Twitter上发布硬编码凭据之后,这家澳大利亚软件公司开始优先考虑补丁,以缓解针对该漏洞的潜在威胁。
值得注意的是,这个漏洞只在Confluence应用程序启用时才存在。也就是说,卸载Confluence应用程序并不能修复漏洞,因为在卸载应用程序后,创建的帐户不会自动删除。
建议受影响产品的用户尽快将其本地实例更新到最新版本(2.7.38和3.0.5),或采取措施禁用/删除该帐户。
Palo Alto Networks在其2022年Unit 42事件响应报告中发现,黑客在公开披露新的安全漏洞后15分钟内,会扫描易受攻击的端点。
消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文