最新关键 Atlassian Confluence 漏洞已被广泛利用

Hackernews 编译，转载请注明出处：

一周前，Atlassian为Confluence Server和Confluence Data Center的Confluence应用程序发布了补丁，其中包含一个关键漏洞，现在这个漏洞已经被广泛利用。

该漏洞追踪为CVE-2022-26138，它涉及在应用程序中使用硬编码密码，未经验证的远程攻击者可能会利用该密码获得对Confluence中所有页面的无限制访问权。

在Twitter上发布硬编码凭据之后，这家澳大利亚软件公司开始优先考虑补丁，以缓解针对该漏洞的潜在威胁。

值得注意的是，这个漏洞只在Confluence应用程序启用时才存在。也就是说，卸载Confluence应用程序并不能修复漏洞，因为在卸载应用程序后，创建的帐户不会自动删除。

建议受影响产品的用户尽快将其本地实例更新到最新版本（2.7.38和3.0.5），或采取措施禁用/删除该帐户。

Palo Alto Networks在其2022年Unit 42事件响应报告中发现，黑客在公开披露新的安全漏洞后15分钟内，会扫描易受攻击的端点。

消息来源：TheHackerNews，译者：Shirley；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文