Les utilisateurs de plusieurs produits Atlassian populaires, notamment Jira, Confluence et Bamboo, pourraient être vulnérables à deux vulnérabilités très graves qui permettent l’exécution de code à distance et l’élévation des privilèges.
Tel que rapporté par Le registreAtlassian a récemment publié un avertissement, qui détaille les « vulnérabilités du répartiteur de filtre de servlet ».
La première vulnérabilité est identifiée comme CVE-2022-26136, un contournement arbitraire du filtre de servlet, permettant aux pirates de contourner les filtres de servlet personnalisés que les applications tierces utilisent pour l’authentification. Tout ce qu’ils auraient à faire serait d’envoyer une requête HTTP personnalisée et malveillante.
Jusqu’où va le terrier du lapin
Bien qu’Atlassian affirme avoir maintenant résolu le problème, ce n’est le cas que pour certains de ses produits, l’étendue complète de la vulnérabilité étant encore inconnue.
« Atlassian a publié des mises à jour qui corrigent la cause première de cette vulnérabilité, mais n’a pas énuméré de manière exhaustive toutes les conséquences potentielles de cette vulnérabilité », indique l’avis de sécurité. (s’ouvre dans un nouvel onglet).
De plus, la société a expliqué comment la même faille pouvait être utilisée dans une attaque de script intersite. En utilisant une requête HTTP personnalisée, un pirate peut contourner le filtre de servlet qui valide les gadgets Atlassian authentiques. « Un attaquant qui peut inciter un utilisateur à demander une URL malveillante peut exécuter du JavaScript arbitraire dans le navigateur de l’utilisateur », a déclaré la société.
La deuxième vulnérabilité est identifiée comme CVE-2022-26137 et est décrite comme un contournement du partage des ressources cross-origin (CORS).
« L’envoi d’une requête HTTP spécialement conçue peut invoquer le filtre de servlet utilisé pour répondre aux requêtes CORS, entraînant un contournement CORS », a déclaré Atlassian. « Un attaquant qui peut inciter un utilisateur à demander une URL malveillante peut accéder à l’application vulnérable avec le autorisations. »
Alors que ces deux défauts ont été trouvés dans une poignée de produits Atlassian, il y en avait un de plus, trouvé uniquement dans Confluence. La faille CVE-2022-26138 est en fait un mot de passe codé en dur, mis en place pour faciliter les migrations vers le cloud.
« L’application Atlassian Questions For Confluence pour Confluence Server et Data Center crée un compte utilisateur Confluence dans le groupe confluence-users avec le nom d’utilisateur disabledsystemuser et un mot de passe codé en dur. Un attaquant distant non authentifié connaissant le mot de passe codé en dur pourrait exploiter cela pour se connecter à Confluence et accéder à tout le contenu accessible aux utilisateurs du groupe confluence-users », a conclu la société.
Les versions cloud des produits Atlassian ont été corrigées, a-t-on dit, tandis que celles hébergées sur les terminaux d’entreprise doivent être mises à jour manuellement.
Via : Le Registre (s’ouvre dans un nouvel onglet)