Atlassian heeft een security-alert verstuurd met een waarschuwing voor kwetsbaarheden in bijna elk product, waaronder Bamboo, Bitbucket, Confluence, Fisheye, Crucible en Jira.

De kwetsbaarheden treffen meerdere producten. Kwetsbaarheid CVE-2022-26136 is een ‘arbitrary Servlet Filter bypass’ die ervoor kan zorgen dat hackers specifieke HTTP-verzoeken versturen voor het omzeilen van Servlet Filters. Third-party apps gebruiken Servlet Filters voor authenticatie. Welke third-party apps dit zijn is niet bekend. Dit maakt de kwetsbaarheid zeer kritiek.

Dezelfde kwetsbaarheid kan ook worden gebruikt voor cross-site scripting-aanvallen. Een speciaal aangemaakt HTTP-verzoek kan Servlet Filter omzeilen voor het valideren van legitieme Atlassian Gadgets.

Ook CVE-2022-26137 treft meerdere producten. Dit is een cross-origin resource sharing (CORS) bypass. Via deze kwetsbaarheid kunnen hackers Servlet Filters gebruiken om op CORS-verzoeken te antwoorden. Dit resulteert uiteindelijk in een CORS bypass.

Belangrijke kwetsbaarheid in Confluence

Een andere zeer belangrijke kwetsbaarheid (CVE-2022-26138) treft Atlassian Confluence. Confluence app ‘Atlassian Questions For Confluence for Confluence Server and Data Center’ maakt een Confluence-account aan met een standaard gebruikersnaam en hard-coded wachtwoord. Hackers die dit hard-coded wachtwoord hebben, kunnen op deze manier inloggen in Confluence en toegang krijgen tot alle content en gebruikers die zich in de Confluence-gebruikersgroep bevinden.

Fixes en upgrades beschikbaar

De kwetsbaarheden doen zich voor in alle versies van de betreffende Atlassian-producten, wat het aanvalsoppervlak flink vergroot. Inmiddels heeft de softwarespecialist fixes uitgebracht en aangegeven dat klanten hun on-premises producten moeten upgraden. De cloudversies van alle kwetsbare Atlassian producten en tools zijn inmiddels helemaal up-to-date.

Tip: Atlassian introduceert Compass en Atlas voor DevOps en BI