ATLASSIAN

Hardkodet Confluence-passord lekket på Twitter

Berører konto opprettet av populær app.

Confluence-siden på Atlassians nettsted.
Confluence-siden på Atlassians nettsted. Skjermbilde: Digi.no
Harald BrombachHarald BrombachNyhetsleder
25. juli 2022 - 13:30

Atlassian advarer om at én av selskapets egne apper til det webbaserte samarbeidsverktøyet Confluence oppretter en konto i systemet hvor passordet er hardkodet i systemet. Dette passordet ble før helgen offentliggjort på Twitter, opplyser Atlassian i en oppdatering av advarselen.

Den aktuelle appen, Questions For Confluence, har blitt lastet ned mer enn 8000 ganger fra Atlassian Marketplace til Confluence Server eller Confluence Data Center. 

Kan både lese og redigere

Ved å benytte den aktuelle kontoen, disabledsystemuser, og passordet som mange nå har fått tilgang til, er det mulig for uvedkommende å logge seg inn i Confluence-systemer og få tilgang enhver webside der, så lenge disse er tilgjengelige for confluence-users-gruppen. Kontoer som er medlemmer av denne gruppen, har som standard tilgang til både å se og redigere enhver ikke-begrenset side i Confluence.

Atlassian anser selv sårbarheten som kritisk.

Det å slette appen fjerner ikke disabledsystemuser-kontoen. Sårbarheten kan fjernes ved å installere den nyeste versjonen av Questions For Confluence-appen eller å deaktivere eller slette disabledsystemuser-kontoen manuelt.

Frykten for at Tiktok skal kunne benyttes til å påvirke utfallet av presidentvalgkampen i november, er overhengende, skriver senior informasjonssikkerhetsrådgiver Simen Bakke i kronikken.
Les også

Tiktok-forbudet har ikke til hensikt å fjerne appen fra USA

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.