-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheid verholpen in Confluence Advisory ID : NCSC-2022-0483 Versie : 1.00 Kans : medium CVE ID : CVE-2022-26138 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Toegang tot gevoelige gegevens Toegang tot systeemgegevens Uitgiftedatum : 20220721 Toepassing : Atlassian Confluence Versie(s) : Questions < 2.7.38 en < 3.0.5 Platform(s) : Beschrijving Er is een kwetsbaarheid verholpen in Questions for Confluence, een plug-in voor Confluence. Een ongeauthenticeerde kwaadwillende van buitenaf kan de kwetsbaarheid misbruiken om alle pagina's met informatie te zien die zichtbaar zijn voor gebruikers binnen de confluence-users gebruikersgroep. Dit vanwege het gebruik van hardcoded inloggegevens voor de gebruiker disabledsystemuser. De kwetsbaarheid bevindt zich in de plug-in genaamd "Questions for Confluence". Deze plug-in wordt niet standaard geinstalleerd. De applicatie is kwetsbaar wanneer de volgende gegevens in de applicatie bestaan: * Gebruiker: disabledsystemuser * Gebruikersnaam: disabledsystemuser * Emailadres: dontdeletethisuser@email.com Deze gegevens worden toegevoegd tijdens de installatie van Questions en zijn niet standaard aanwezig. Mogelijke oplossingen Atlassian heeft updates beschikbaar gesteld voor de plug-in. Versies 2.7.38 en 3.0.5 bevatten de updates om de kwetsbaarheid te verhelpen. Daarnaast kan de kwetsbaarheid ook worden verholpen door het gebruikersaccount disabledsystemuser te verwijderen of uit te schakelen binnen de applicatie. Voor meer informatie, zie: https://confluence.atlassian.com/doc /confluence-security-advisory-2022-07-20-1142446709.html Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) - not licensed for commercial use: www.pgp.com Charset: utf-8 wsDVAwUBYtlHxxypWqw/ZiuAAQqzrAwApR+8scmvH0IFJNmahvxkW4dObus5ljJU yeEqndYPkEXxlWH+cwlSpvDmSh4DGQ+exUQZ/hqAvm6l/RxgWdEG6eLcZxKmnJAH HsnTYsPWWde/sBLrWDNh8K3CizUjE5cyTIQJY/yYJn7RfRufXrWfZIEkMS6b/i2d 4I/eTKKAnZiOcgIQqanaA1YP3KVDRnaSLPfs9om1T7BtGH7vfnAxr45I2RuY33z2 D5PhHlszs5bYeRyEZLKUcxaDvxoTkiiEV3k1136JElaF5UmliMT1ngdIPHKbc0vW MixFaOWLOfM7OCYH064x5qqauyQeJJMeOGlvHPQKqz1HkIxx1L1zJPT738E+F6Nm nYCN5I1z3n/uHBvI/hAscmrkmuKagl14EHbG2JKPyg/a/PWVcN3UGkBNdeku8OIT 1bG82c9HcZVcZlCzoQ+S7AkY9hKDKu7a0RyPH/0cUGV/SVhaIhFDZWekJ/w8VXUf iCbgs/x5Rq1seZLKbr6FV0CSFZrmyXQS =J/nk -----END PGP SIGNATURE-----