3520 подписчиков
#news Сказ о том, как патч для серверов Confluence стал делом ещё более насущным. В приложении для вопросов по продуктам Atlassian не только были захардкоженные данные доступа, но они ещё и мгновенно утекли в сеть.
Мегамозги из Atlassian додумались поставлять приложение вместе с автоматически создаваемым аккаунтом с захардкоженным паролем. И теперь любой желающий, взяв пароль в твиттере, может получить доступ к страницам группы confluence-users на уязвимом сервере. А приложение установили больше 8 тысяч раз.
По задумке троянский аккаунт должен был помочь админам переносить данные из приложения в облако сервера. Но в итоге он стал критической уязвимостью, требующей срочного патча.
@tomhunter
Около минуты
24 июля 2022