AtlassianConfluenceワークスペースを大きく開く恐れのある重大なバグ from darkreading.com

Atlassianは木曜日に、Questions for Confluenceアプリを使用して、ソフトウェアの最新バージョンにすぐに更新するか、製品の重大な脆弱性から保護するための緩和策を適用するよう組織に促しました。
この脆弱性は、ConfluenceCloudのConfluenceアプリの質問には影響しません。
重要なのは、Questions for Confluenceアプリケーションをアンインストールするだけでは、アプリが削除された後もdisabledsystemuserアカウントがそのまま残るため、脆弱性を修正できないとAtlassianは警告しました。
この脆弱性により、攻撃者は特別に細工されたHTTPリクエストを使用して、サードパーティのアプリが認証を実施するために使用する可能性のあるサーブレットフィルタをバイパスすることができます。
Atlassianは、そのような攻撃が可能であることを確認できたが、問題の影響を受ける可能性のあるすべてのサードパーティアプリを特定することはできなかったと述べました。
6月初旬、同社は、サポートされているすべてのバージョンのConfluenceサーバーとデータセンターに影響を与える重大なリモートコード実行の脆弱性（RCE）を公開しました。