-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheid verholpen in Confluence
Advisory ID : NCSC-2022-0483
Versie : 1.00
Kans : medium
CVE ID : CVE-2022-26138
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Toegang tot gevoelige gegevens
Toegang tot systeemgegevens
Uitgiftedatum : 20220721
Toepassing : Atlassian Confluence
Versie(s) : Questions < 2.7.38 en < 3.0.5
Platform(s) :
Beschrijving
Er is een kwetsbaarheid verholpen in Questions for Confluence, een
plug-in voor Confluence.
Een ongeauthenticeerde kwaadwillende van buitenaf kan de
kwetsbaarheid misbruiken om alle pagina's met informatie te zien die
zichtbaar zijn voor gebruikers binnen de confluence-users
gebruikersgroep. Dit vanwege het gebruik van hardcoded inloggegevens
voor de gebruiker disabledsystemuser.
De kwetsbaarheid bevindt zich in de plug-in genaamd "Questions for
Confluence". Deze plug-in wordt niet standaard geinstalleerd. De
applicatie is kwetsbaar wanneer de volgende gegevens in de
applicatie bestaan:
* Gebruiker: disabledsystemuser
* Gebruikersnaam: disabledsystemuser
* Emailadres: dontdeletethisuser@email.com
Deze gegevens worden toegevoegd tijdens de installatie van Questions
en zijn niet standaard aanwezig.
Mogelijke oplossingen
Atlassian heeft updates beschikbaar gesteld voor de plug-in. Versies
2.7.38 en 3.0.5 bevatten de updates om de kwetsbaarheid te
verhelpen. Daarnaast kan de kwetsbaarheid ook worden verholpen door
het gebruikersaccount disabledsystemuser te verwijderen of uit te
schakelen binnen de applicatie.
Voor meer informatie, zie:
https://confluence.atlassian.com/doc
/confluence-security-advisory-2022-07-20-1142446709.html
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298) - not licensed for commercial use: www.pgp.com
Charset: utf-8
wsDVAwUBYtlHxxypWqw/ZiuAAQqzrAwApR+8scmvH0IFJNmahvxkW4dObus5ljJU
yeEqndYPkEXxlWH+cwlSpvDmSh4DGQ+exUQZ/hqAvm6l/RxgWdEG6eLcZxKmnJAH
HsnTYsPWWde/sBLrWDNh8K3CizUjE5cyTIQJY/yYJn7RfRufXrWfZIEkMS6b/i2d
4I/eTKKAnZiOcgIQqanaA1YP3KVDRnaSLPfs9om1T7BtGH7vfnAxr45I2RuY33z2
D5PhHlszs5bYeRyEZLKUcxaDvxoTkiiEV3k1136JElaF5UmliMT1ngdIPHKbc0vW
MixFaOWLOfM7OCYH064x5qqauyQeJJMeOGlvHPQKqz1HkIxx1L1zJPT738E+F6Nm
nYCN5I1z3n/uHBvI/hAscmrkmuKagl14EHbG2JKPyg/a/PWVcN3UGkBNdeku8OIT
1bG82c9HcZVcZlCzoQ+S7AkY9hKDKu7a0RyPH/0cUGV/SVhaIhFDZWekJ/w8VXUf
iCbgs/x5Rq1seZLKbr6FV0CSFZrmyXQS
=J/nk
-----END PGP SIGNATURE-----
