可用

最新关键 Atlassian Confluence 漏洞已被广泛利用

  • 浏览次数 19843
  • 喜欢 0
  • 评分 12345

Hackernews 编译,转载请注明出处:

Atlassian-Confluence

一周前,Atlassian为Confluence Server和Confluence Data Center的Confluence应用程序发布了补丁,其中包含一个关键漏洞,现在这个漏洞已经被广泛利用。

该漏洞追踪为CVE-2022-26138,它涉及在应用程序中使用硬编码密码,未经验证的远程攻击者可能会利用该密码获得对Confluence中所有页面的无限制访问权。

在Twitter上发布硬编码凭据之后,这家澳大利亚软件公司开始优先考虑补丁,以缓解针对该漏洞的潜在威胁。

app

值得注意的是,这个漏洞只在Confluence应用程序启用时才存在。也就是说,卸载Confluence应用程序并不能修复漏洞,因为在卸载应用程序后,创建的帐户不会自动删除。

建议受影响产品的用户尽快将其本地实例更新到最新版本(2.7.38和3.0.5),或采取措施禁用/删除该帐户。

Palo Alto Networks在其2022年Unit 42事件响应报告中发现,黑客在公开披露新的安全漏洞后15分钟内,会扫描易受攻击的端点。

 

消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文