Atlassian trébuche à nouveau. L’éditeur de logiciels orientés DevOps a publié le 20 juillet un avis de sécurité. Le fournisseur alerte ses utilisateurs et clients sur la présence de vulnérabilités critiques dans de « multiples produits » de son catalogue.

Les services impactés incluent les versions Server* et Data Center de :

– Bamboo (intégration et gestion des livraisons)

– Bitbucket (gestion du code avec Git)

– Confluence (collaboration documentaire)

– Crowd (gestion des utilisateurs)

– Jira (suivi de projets/tickets et ITSM)

Deux autres produits sont concernés :

– Crucible (revue de code pour Git)

– Fisheye (recherche et suivi de code)

Une année 2022 marquée par les failles

Une des trois vulnérabilités listées CVE-2022-26136 permet à un attaquant distant et non authentifié de contourner les filtres de servlet utilisés par les applications internes et tierces.

Une deuxième faille – CVE-2022-26137 – peut être exploitée par des « acteurs malveillants » pour contourner le partage de ressources d’origine croisée (CORS).

Une dernière vulnérabilité présente dans l’avis de juillet 2022 – CVE-2022-26138 – concerne uniquement Confluence.

Il est précisé à son propos : « l’app Atlassian Questions For Confluence pour Confluence Server & Data Center crée un compte utilisateur Confluence dans le groupe confluence-users avec le nom d’utilisateur disabledsystemuser et un mot de passe codé en dur. Un attaquant distant et non authentifié connaissant le mot de passe codé en dur pourrait l’exploiter pour se connecter à Confluence et accéder à tout le contenu accessible aux utilisateurs du groupe confluence-users. »

Or, une tierce partie externe a découvert et divulgué publiquement le mot de passe codé en dur sur Twitter, a indiqué le 21 juillet Atlassian. Le fournisseur de solutions exhorte son écosystème à appliquer au plus plus vite des correctifs.

La période est tendue. Cette alerte de sécurité intervenant quelques semaines seulement après l’annonce d’une autre faille critique, activement exploitée, dans Confluence.

* Atlassian ne commercialise plus de nouvelles licences Server et mettra fin au support Server le 15 février 2024. En revanche, l’entreprise basée en Australie maintient les développements Data Center de ses logiciels.

