Atlassian 제품의 다중 취약점(CVE-2022-26136, CVE-2022-26137, CVE-2022-26138) 주의!

7월 20일, Atlassian은 Questions for Confluence 애플리케이션에 하드코딩된 자격 증명 취약성과 여러 Atlassian 제품에 연결된 자사 및 타사 애플리케이션 모두에서 서블릿 필터 우회가 존재한다는 보안 권고를 발표했습니다 .

 

 

취약점 내용

CVE-2022-26318
Confluence 서버 및 데이터 센터용 Atlassian Questions For Confluence 앱은 사용자 이름 disabledsystemuser와 하드코딩된 비밀번호를 사용하여 confluence-users 그룹에 Confluence 사용자 계정을 생성합니다. 하드코딩된 암호를 알고 있는 인증되지 않은 원격 공격자는 이를 악용하여 Confluence에 로그인하고 confluence-users 그룹의 사용자가 접근할 수 있는 모든 콘텐츠에 접근할 수 있습니다.

CVE-2022-26136
여러 Atlassian 제품의 취약점으로 인해 인증되지 않은 원격 공격자가 자사 및 타사 앱에서 사용하는 서블릿 필터를 우회할 수 있습니다. 영향은 각 앱에서 사용하는 필터와 필터 사용 방법에 따라 다릅니다. 해당 취약점으로 인해 인증 우회 및 사이트 간 스크립팅이 발생할 수 있습니다. 

CVE-2022-26137
여러 Atlassian 제품의 취약점으로 인해 인증되지 않은 원격 공격자가 애플리케이션이 요청 또는 응답을 처리할 때 추가 서블릿 필터가 호출되도록 할 수 있습니다. 특수하게 조작된 HTTP 요청을 보내면 CORS 요청에 응답하는 데 사용되는 서블릿 필터가 호출되어 CORS 우회가 발생할 수 있습니다. 사용자를 속여 악성 URL을 요청하도록 할 수 있는 공격자는 피해자의 권한으로 취약한 애플리케이션에 액세스할 수 있습니다.

 

 

영향받는 버전

 

하드코딩된 비밀번호(CVE-2022-26318)
- Questions For Confluence

2.7.34, 2.7.35, 3.0.2 버전

 

 

다중 서플릿 필터 취약점(CVE-2022-26136 ,  CVE-2022-26137)

- Bamboo Server, Bamboo Data Center
7.2.9 미만 버전
8.0.x ~ 8.0.9 미만 버전
8.1.x ~  8.1.8 미만 버전
8.2.x ~ 8.2.4 미만 버전

- Bitbucket Server, Bitbucket Data Center
7.6.16 미만 버전
7.7.x ~ 7.16.x 모든 버전
7.17.x ~ 7.17.8 미만 버전
7.18.x 모든 버전
7.19.x ~ 7.19.5 미만 버전
7.20.x ~ 7.20.2 미만 버전
7.21.x ~ 7.21.2 미만 버전
8.0.0 버전
8.1.0 버전

- Confluence Server, Confluence Data Center
7.4.17 미만 버전
7.5.x ~ 7.12.x 모든 버전
7.13.x ~ 7.13.7 미만 버전
7.14.x ~ 7.14.3 미만 버전
7.15.x ~ 7.15.2 미만 버전
7.16.x ~ 7.16.4 미만 버전
7.17.x ~ 7.17.4 미만 버전
7.18.0 버전

- Crowd Server, Crowd Data Center
4.3.8 미만 버전
4.4.x ~ 4.4.2 미만 버전
5.0.0 버전

- Crucible, Fisheye
4.8.10 미만 버전

- Jira Core Server, Jira Software Server, Jira Software Data Center
8.13.22 미만 버전
8.14.x ~ 8.19.x 모든 버전
8.20.x ~ 8.20.10 미만 버전
8.21.x 모든 버전
8.22.x ~ 8.22.4 미만 버전
* 8.22.4 버전의 경우 영향을 받지 않지만, 관련없는 안전하지 않은 버그가 포함되어 있음.

- Jira Service Management Server, Jira Service Management Data Center
4.13.22 미만 버전
4.14.x ~ 4.19.x 모든 버전
4.20.x ~ 4.20.10 미만 버전
4.21.x 모든 버전
4.22.x ~ 4.22.4 미만 버전

패치방법

 

제품에 맞는 버전 참고하여 업데이트

CVE-2022-26318
CVE-2022-26136 ,  CVE-2022-26137

 

참고 :
https://confluence.atlassian.com/doc/questions-for-confluence-security-advisory-2022-07-20-1142446709.html
https://confluence.atlassian.com/security/july-2022-atlassian-security-advisories-overview-1142446703.html
https://confluence.atlassian.com/security/multiple-products-security-advisory-cve-2022-26136-cve-2022-26137-1141493031.html