Atlassian advarer om at én av selskapets egne apper til det webbaserte samarbeidsverktøyet Confluence oppretter en konto i systemet hvor passordet er hardkodet i systemet. Dette passordet ble før helgen offentliggjort på Twitter, opplyser Atlassian i en oppdatering av advarselen.
Den aktuelle appen, Questions For Confluence, har blitt lastet ned mer enn 8000 ganger fra Atlassian Marketplace til Confluence Server eller Confluence Data Center.
Kan både lese og redigere
Ved å benytte den aktuelle kontoen, disabledsystemuser, og passordet som mange nå har fått tilgang til, er det mulig for uvedkommende å logge seg inn i Confluence-systemer og få tilgang enhver webside der, så lenge disse er tilgjengelige for confluence-users-gruppen. Kontoer som er medlemmer av denne gruppen, har som standard tilgang til både å se og redigere enhver ikke-begrenset side i Confluence.
Atlassian anser selv sårbarheten som kritisk.
Det å slette appen fjerner ikke disabledsystemuser-kontoen. Sårbarheten kan fjernes ved å installere den nyeste versjonen av Questions For Confluence-appen eller å deaktivere eller slette disabledsystemuser-kontoen manuelt.
Advarer: Kritisk sårbarhet utnyttet av statsstøttede aktører