На этой неделе много пишут про уязвимости Con­flu­ence. Их вышло три.

CVE-2022–26136 & CVE-2022–26137: Mul­ti­ple Servlet Fil­ter vul­ner­a­bil­i­ties (Authen­ti­ca­tion bypass, XSS, Cross-ori­gin resource shar­ing bypass). Много продуктов Atlass­ian уязвимо. Кроме Con­flu­ence и JIRA это ещё и Bit­buck­et например. Тут все понятно, надо патчить. Ну и в идеале давно пора от этих продуктов отказываться, сами понимаете почему.

CVE-2022–26138: Hard­cod­ed pass­word in Con­flu­ence Ques­tions. Эта уязвимость сейчас самая хайповая и забавная. Установка дополнительного аппа Ques­tions для конфлюенса создаёт пользователя dis­abledsys­te­muser с захардкоженным паролем. А он не dis­abled! 🤡 Пароль уже в паблике. Под этим юзером можно читать незащищённые странички доступные con­flu­ence-users. Ну не смех ли? 🙂 Исправляется патчингом или блокировкой/удалением пользователя.

Тут что можно сказать:
1. Плагины и расширения зло, там обычно самое адище.
2. Вот как-то так могут выглядеть закладки в ПО. Очень простая эксплуатация при этом можно всегда сказать, что ой, извините, это ошибка.
3. Те, кто Con­flu­ence и подобные сервисы в интернет выставляют сами себе злобные буратины.