Atlassian a corrigé une vulnérabilité critique concernant les informations d'identification codées en dur dans Confluence Server et Data Center, qui pourrait permettre à des attaquants distants non authentifiés de se connecter aux serveurs vulnérables.

Le mot de passe codé en dur est ajouté après l'installation de l'application Questions for Confluence (versions 2.7.34, 2.7.35 et 3.0.2) pour un compte utilisateur avec le nom d'utilisateur disabledsystemuser - conçu pour aider les administrateurs lors de la migration des données de l'application vers Confluence Cloud.

"Le compte disabledsystemuser est créé avec un mot de passe codé en dur et est ajouté au groupe confluence-users, qui permet de visualiser et de modifier toutes les pages non restreintes dans Confluence par défaut", explique l'entreprise dans un avis de sécurité publié mercredi.

"Un attaquant distant et non authentifié ayant connaissance du mot de passe codé en dur pourrait exploiter cela pour se connecter à Confluence et accéder à toutes les pages auxquelles le groupe confluence-users a accès."

Cependant, la société a averti que "le mot de passe codé en dur est trivial à obtenir après avoir téléchargé et examiné les versions affectées de l'application."

Les administrateurs qui veulent déterminer si leurs serveurs sont affectés par cette faille de sécurité des informations d'identification codées en dur doivent vérifier si un compte utilisateur actif a les informations suivantes :

• Utilisateur : disabledsystemuser
• Nom d'utilisateur : disabledsystemuser
• Courriel : dontdeletethisuser@email.com

Sur les serveurs concernés, la désinstallation de l'application Questions for Confluence ne corrige pas cette vulnérabilité et ne supprime pas le vecteur d'attaque (c'est-à-dire le compte disabledsystemuser avec un mot de passe codé en dur). Et donc la mise à jour est primordiale pour la correction du problème.