Crowd and Crowd Data Center

Die Schwachstelle betrifft Atlassian Crowd sowie Crowd Data Center, eine Software zur zentralen Verwaltung von Benutzerkonten und Zugriffsrechten. Ursache ist ein Entwicklungs-Plugin namens pdkinstall, das in den ausgelieferten Produktversionen versehentlich aktiviert blieb, obwohl es nur für interne Entwicklungszwecke gedacht ist. Über dieses Plugin lassen sich beliebige Erweiterungen (Plugins) in eine laufende Crowd-Instanz einspielen. Ein Angreifer, der entsprechende Anfragen an die Instanz senden kann, missbraucht diese Funktion, um eigene Plugins zu installieren – und erlangt darüber die Ausführung von beliebigem Code auf dem betroffenen System. Besonders schwerwiegend ist, dass der Angriff auch ohne gültige Anmeldedaten gelingt: Schon eine nicht authentifizierte Anfrage genügt. Wer eine erreichbare Crowd-Instanz kontrolliert, kann damit nicht nur den Identitätsdienst selbst übernehmen, sondern potenziell auch die daran angebundenen Anwendungen und Benutzerkonten kompromittieren.