Los usuarios de varios productos populares de Atlassian, incluidos Jira, Confluence y Bamboo, pueden ser vulnerables a dos vulnerabilidades de alta gravedad que permiten la ejecución remota de código y la escalada de privilegios.
Según informes RegistrarseAtlassian emitió recientemente una advertencia que detalla una “vulnerabilidad del programador de filtro de servlet”.
La primera vulnerabilidad se rastrea como CVE-2022-26136, una omisión de filtro de servlet arbitrario que permite a los actores de amenazas eludir los filtros de servlet personalizados utilizados por aplicaciones de terceros para la autenticación. Todo lo que necesitan hacer es enviar una solicitud HTTP maliciosa personalizada.
¿Qué tan profundo es el agujero del conejo?
Si bien Atlassian dice que ahora ha resuelto el problema, este es solo el caso de algunos de sus productos, y aún se desconoce el alcance total de la vulnerabilidad.
“Atlassian ha publicado una actualización que soluciona la causa raíz de esta vulnerabilidad, pero no ha enumerado de forma exhaustiva todas las posibles consecuencias de esta vulnerabilidad”, se lee en el aviso de seguridad. (se abre en una pestaña nueva).
Además, la empresa explicó cómo se podría utilizar la misma vulnerabilidad en un ataque de secuencias de comandos entre sitios. Mediante el uso de una solicitud HTTP personalizada, un actor de amenazas puede eludir el filtro de servlet que valida el dispositivo Atlassian real. “Un atacante que pueda engañar a un usuario para que solicite una URL maliciosa podría ejecutar JavaScript arbitrario en el navegador del usuario”, dijo la compañía.
La segunda vulnerabilidad, rastreada como CVE-2022-26137, se describe como una omisión de uso compartido de recursos de origen cruzado (CORS).
“El envío de solicitudes HTTP especialmente diseñadas puede invocar filtros de servlet que respondan a las solicitudes CORS, evitando así CORS”, dijo Atlassian. “Un atacante que puede engañar a un usuario para que solicite una URL maliciosa puede usar los permisos de la víctima”.
Si bien ambos defectos se encontraron en un puñado de productos de Atlassian, solo se encontró uno en Confluence. La vulnerabilidad CVE-2022-26138 es en realidad una contraseña codificada diseñada para ayudar a la migración a la nube.
“La aplicación Atlassian Questions For Confluence para servidores y centros de datos de Confluence crea una cuenta de usuario de Confluence en el grupo de usuarios de confluence con un nombre de usuario de disabledsystemuser y una contraseña codificada. Un usuario remoto no autenticado que conoce la contraseña codificada. Un atacante podría usarla para iniciar sesión. en Confluence y acceda a todo lo que un usuario en el grupo de usuarios de confluence tiene acceso”, concluyó la compañía.
Se dice que las versiones en la nube de los productos Atlassian están parcheadas, mientras que los productos alojados en puntos finales empresariales requieren actualizaciones manuales.
Vía: Registro (se abre en una pestaña nueva)