Vulnerabilidad en la aplicación Atlassian Questions For Confluence para Confluence Server y Data Center (CVE-2022-26138)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-798
Credenciales embebidas en el software
Fecha de publicación:
20/07/2022
Última modificación:
14/01/2026
Descripción
La aplicación Atlassian Questions For Confluence para Confluence Server y Data Center crea una cuenta de usuario de Confluence en el grupo confluence-users con el nombre de usuario disabledsystemuser y una contraseña embebida. Un atacante remoto no autenticado que conozca la contraseña embebida podría explotar esta situación para iniciar sesión en Confluence y acceder a todo el contenido accesible para usuarios del grupo confluence-users. Esta cuenta de usuario es creada cuando son instaladas las versiones 2.7.34, 2.7.35 y 3.0.2 de la aplicación
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:atlassian:questions_for_confluence:2.7.34:*:*:*:*:*:*:* | ||
| cpe:2.3:a:atlassian:questions_for_confluence:2.7.35:*:*:*:*:*:*:* | ||
| cpe:2.3:a:atlassian:questions_for_confluence:3.0.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:atlassian:confluence_data_center:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:atlassian:confluence_server:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://confluence.atlassian.com/doc/confluence-security-advisory-2022-07-20-1142446709.html
- https://jira.atlassian.com/browse/CONFSERVER-79483
- https://confluence.atlassian.com/doc/confluence-security-advisory-2022-07-20-1142446709.html
- https://jira.atlassian.com/browse/CONFSERVER-79483
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2022-26138