Confluence

Die Schwachstelle betrifft die App „Questions For Confluence" für die selbst betriebenen Confluence-Varianten Server und Data Center von Atlassian. Bei ihrer Installation legt die App automatisch ein Confluence-Benutzerkonto mit dem festen Benutzernamen „disabledsystemuser" und einem fest im Code hinterlegten Passwort an. Dieses Passwort ist unveränderlich und allgemein bekannt geworden. Ein Angreifer aus der Ferne, der dieses Passwort kennt, kann sich damit ohne weitere Anmeldedaten direkt bei Confluence anmelden. Das Konto gehört zur Gruppe „confluence-users", sodass der Angreifer Zugriff auf sämtliche Inhalte erhält, die dieser Standard-Benutzergruppe offenstehen. Da fest verdrahtete Zugangsdaten weder vom Betreiber gesetzt noch ohne Weiteres geändert werden können, steht der Zugang allen offen, denen das Passwort bekannt ist – betroffen sind alle Installationen, auf denen die App in einer der fehlerhaften Versionen eingerichtet wurde.