Atlassian a averti les utilisateurs de ses produits Bamboo, Bitbucket, Confluence, Fisheye, Crucible et Jira qu’une paire de failles critiques menacent leur sécurité.

De l’entreprise Avis de sécurité de juillet détail « vulnérabilités du répartiteur de filtre de servlet ».

Un des défauts CVE-2022-26136 – est décrit comme un contournement de filtre de servlet arbitraire, ce qui signifie qu’un attaquant pourrait envoyer une requête HTTP spécialement conçue pour contourner les filtres de servlet personnalisés utilisés par des applications tierces pour appliquer l’authentification.

La partie effrayante est que la faille permet à un attaquant distant non authentifié de contourner l’authentification utilisée par les applications tierces. La partie vraiment effrayante est qu’Atlassian n’a pas de liste définitive des applications qui pourraient être affectées.

« Atlassian a publié des mises à jour qui traitent de la cause première de cette vulnérabilité, mais n’a pas répertorié de manière exhaustive toutes les conséquences possibles de cette vulnérabilité », a-t-il ajouté.

Le même CVE peut également être exploité dans une attaque de script intersite : une requête HTTP spécialement conçue peut contourner le filtre de servlet utilisé pour valider les appareils Atlassian légitimes. « Un attaquant qui peut inciter un utilisateur à demander une URL malveillante peut exécuter du JavaScript arbitraire dans le navigateur de l’utilisateur », explique Atlassian.

Le deuxième défaut – CVE-2022-26137 – est un contournement du partage des ressources cross-origin (CORS).

Atlassian l’explique ainsi : « L’envoi d’une requête HTTP spécialement conçue peut invoquer le filtre de servlet utilisé pour répondre aux requêtes CORS, ce qui entraîne un contournement CORS. Un attaquant qui peut inciter un utilisateur à demander une URL malveillante peut accéder à l’application vulnérable avec le autorisations de la victime. »

READ  Un nouvel événement de distribution pour Pokémon Shining Diamond et Shining Pearl a commencé pour une durée limitée

Les utilisateurs de Confluence ont un autre défaut à craindre : CVE-2022-26138 révèle que l’un de ses Applications Confluence il a un mot de passe crypté pour faciliter les migrations vers le cloud. Il expliqua:

Si ce mot de passe tombe entre de mauvaises mains, une implémentation de Confluence est un livre ouvert.

Les défauts sont présents dans les anciennes versions des produits Atlassian. Des correctifs ont été publiés et nécessitent des mises à jour. Les versions cloud des produits hébergés Atlassian ont maintenant été corrigées.

La nouvelle des vulnérabilités survient six semaines seulement après Atlassian. admission d’une autre faille critique dans Confluence qui faisait l’objet d’attaques actives.

Le registre imaginez que ces nouveaux vont également attirer l’attention d’acteurs malveillants. CVE-2022-26136 représente probablement une excellente occasion de tester des intégrations oubliées depuis longtemps pour leur potentiel à fournir un chemin vers les produits Atlassian et à partir de là, causer toutes sortes de dommages avec un méchant morceau de JavaScript.

Avec ou sans de telles attaques, Atlassian a connu une année difficile. Trois défauts critiques présents dans les produits depuis des années, et un panne de cloud embarrassante – pas le genre de chose que les clients professionnels apprécient. ®