Alert GCSA-22082 - Vulnerabilita' in Atlassian Questions for Confluence App

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

******************************************************************

Alert ID: GCSA-22082
Data: 25 Luglio 2022
Titolo: Vulnerabilita' in Atlassian Questions for Confluence App

******************************************************************


:: Descrizione

E' stata rilevata una vulnerabilita' critica in Questions for Confluence App
di Atlassian, che potrebbe permettere ad un attaccante di ottenere informazioni sensibili.

E' probabile che la vulnerabiita' sia attualmente in corso di sfruttamento.

Maggiori informazioni sono disponibili nella sezione "Riferimenti"


:: Software interessato

Questions for Confluence versioni:
2.7.34
2.7.35
3.0.2

Questions for Confluence app per Confluence Cloud non e' affetta dalla vulnerabilita'.


:: Impatto

Authentication Bypass


:: Soluzione

due le soluzioni possibili

1) Aggiornare il software ad una versione non vulnerabile:
https://confluence.atlassian.com/upm/updating-apps-273875710.html

2.7.x >= 2.7.38 (compatibile con Confluence 6.13.18 fino a 7.16.2)

Versioni >= 3.0.5 (compatibile con Confluence 7.16.3 e successivi)


2) Disabilitare o rimuovere l'account "disabledsystemuser":
https://confluence.atlassian.com/doc/delete-or-disable-users-138318.html

Se Confluence e' configurato per utilizzare una directory esterna di tipo read-only,
fare riferimento alla sezione "Delete from a read-only external directory, or multiple external directories" dello stesso documento.


:: Riferimenti

Atlassian Advisory
https://confluence.atlassian.com/doc/questions-for-confluence-security-advisory-2022-07-20-1142446709.html

CSIRT Italia
https://www.csirt.gov.it/contenuti/rilevata-vulnerabilita-in-questions-for-confluence-al01-220721-csirt-ita

Mitre CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26138




GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----

iD8DBQFi3pNCwZxMk2USYEIRCO+yAJ9MexnaBa1o9ndgfBzBB61VdTmoRwCbBJHy
Y8EC31Oh0gIjsQhkVK9UWu8=
=wm2b
-----END PGP SIGNATURE-----