近日，我司监测到Atlassian发布安全公告，修复了多个产品中的3个安全漏洞。

Atlassian是一个澳大利亚的企业软件公司，设计发布针对软件开发工程师和项目经理的企业软件，Atlassian公司以其产品项目跟踪软件JIRA和团队协同软件Confluence而闻名。

漏洞详情如下：

1.CVE-2022-26136 任意 Servlet 过滤器绕过

漏洞类型：功能绕过

风险等级：严重

漏洞描述：多个Atlassian 产品允许未经身份验证的远程攻击者绕过第一方和第三方应用程序使用的 Servlet 过滤器。影响取决于每个应用程序使用哪些过滤器，以及过滤器的使用方式。Atlassian 已发布修复此漏洞根本原因的更新，但并未详尽列举此漏洞的所有潜在后果，仅确认了可造成身份验证绕过和跨站脚本 (XSS)攻击。

2.CVE-2022-26137 额外的 Servlet 过滤器调用

漏洞类型：功能绕过

风险等级：严重

漏洞描述：多个Atlassian 产品允许未经身份验证的远程攻击者在应用程序处理请求或响应时导致调用额外的 Servlet 过滤器。Atlassian 已确认并修复了与此漏洞相关的唯一已知安全问题跨域资源共享 (CORS) 绕过。

3.CVE-2022-26138 Confluence 帐户具有由Questions for Confluence 创建的硬编码凭据

漏洞类型：硬编码

风险等级：严重

漏洞描述：当 Confluence Server 或 Data Center 上的Questions for Confluence app启用时，它会创建一个名为 disabledsystemuser的 Confluence 用户帐户。此帐户旨在帮助将数据从应用程序迁移到 Confluence Cloud 的管理员。该disabledsystemuser 帐户使用硬编码密码创建并添加到confluence-users 组中，默认情况下允许查看和编辑 Confluence 中的所有非受限页面。知道硬编码密码的未经身份验证攻击者可以利用它登录 Confluence 并访问该组有权访问的任何页面。

影响版本：

• Bamboo Server and Data Center < 7.2.9
• 8.0.0 <= Bamboo Server and Data Center < 8.0.9
• 8.1.0 <= Bamboo Server and Data Center < 8.1.8
• 8.2.0 <= Bamboo Server and Data Center < 8.2.4
• Bitbucket Server and Data Center < 7.6.16
• 7.7.0 <= Bitbucket Server and Data Center < 7.17.8
• 7.18.0 <= Bitbucket Server and Data Center < 7.19.5
• 7.20.0 <= Bitbucket Server and Data Center < 7.20.2
• 7.21.0 <= Bitbucket Server and Data Center < 7.21.2
• Bitbucket Server and Data Center == 8.0.0
• Bitbucket Server and Data Center == 8.1.0
• Confluence Server and Data Center < 7.4.17
• 7.5.0 <= Confluence Server and Data Center < 7.13.7
• 7.14.0 <= Confluence Server and Data Center < 7.14.3
• 7.15.0 <= Confluence Server and Data Center < 7.15.2
• 7.16.0 <= Confluence Server and Data Center < 7.16.4
• 7.17.0 <= Confluence Server and Data Center < 7.17.4
• Confluence Server and Data Center == 7.18.0
• Crowd Server and Data Center < 4.3.8
• 4.4.0 <= Crowd Server and Data Center < 4.4.2
• Crowd Server and Data Center == 5.0.0
• Crucible < 4.8.10
• Fisheye < 4.8.10
• Jira Server and Data Center < 8.13.22
• 8.14.0 <= Jira Server and Data Center through < 8.20.10
• 8.21.0 <= Jira Server and Data Center < 8.22.4
• Jira Service Management Server and Data Center < 4.13.22
• 4.14.0 <= Jira Service Management Server and Data Center < 4.20.10
• 4.21.0 <= Jira Service Management Server and Data Center < 4.22.4
• Questions for Confluence app == 2.7.34
• Questions for Confluence app == 2.7.35
• Questions for Confluence app == 3.0.2

修复建议：

官方已发布安全版本，请及时下载更新，下载地址：

• Bamboo Server and Data Center：https://www.atlassian.com/software/bamboo/download
• Bitbucket Server and Data Center：https://www.atlassian.com/software/bitbucket/download-archives
• Confluence Server and Data Center：https://www.atlassian.com/software/confluence/download-archives
• Crowd：https://www.atlassian.com/software/crowd/download/data-center
• Crucible：https://www.atlassian.com/software/crucible/download
• Fisheye：https://www.atlassian.com/software/fisheye/download
• Jira Service Management Server and Data Center：https://www.atlassian.com/software/jira/service-management/download-archives
• Jira Software Server and Data Center：https://www.atlassian.com/software/jira/download-archives
• Questions for Confluence app：https://confluence.atlassian.com/upm/updating-apps-273875710.html