Приложение Atlassian Вопросы для Confluence для Confluence Server и Data Center создает учетную запись пользователя Confluence в группе confluence-users с именем пользователя Disablesystemuser и жестко закодированным паролем. Удаленный злоумышленник, не прошедший проверку подлинности и знающий жестко запрограммированный пароль, может использовать это для входа в Confluence и доступа ко всему контенту, доступному пользователям в группе confluence-users. Эта учетная запись пользователя создается при установке версий приложения 2.7.34, 2.7.35 и 3.0.2.
Показать оригинальное описание (EN)
The Atlassian Questions For Confluence app for Confluence Server and Data Center creates a Confluence user account in the confluence-users group with the username disabledsystemuser and a hardcoded password. A remote, unauthenticated attacker with knowledge of the hardcoded password could exploit this to log into Confluence and access all content accessible to users in the confluence-users group. This user account is created when installing versions 2.7.34, 2.7.35, and 3.0.2 of the app.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 5
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Atlassian Questions_For_Confluence
cpe:2.3:a:atlassian:questions_for_confluence:2.7.34:*:*:*:*:*:*:*
|
— | — |
|
Atlassian Questions_For_Confluence
cpe:2.3:a:atlassian:questions_for_confluence:2.7.35:*:*:*:*:*:*:*
|
— | — |
|
Atlassian Questions_For_Confluence
cpe:2.3:a:atlassian:questions_for_confluence:3.0.2:*:*:*:*:*:*:*
|
— | — |
|
Atlassian Confluence_Data_Center
cpe:2.3:a:atlassian:confluence_data_center:-:*:*:*:*:*:*:*
|
— | — |
|
Atlassian Confluence_Server
cpe:2.3:a:atlassian:confluence_server:-:*:*:*:*:*:*:*
|
— | — |