漏洞编号
CVE-2022-26138
漏洞摘要
当 Confluence Server 或 Data Center 上的Questions for Confluence 应用程序启用时,它会创建一个名为 的 Confluence 用户帐户disabledsystemuser。此帐户旨在帮助将数据从应用程序迁移到 Confluence Cloud 的管理员。该disabledsystemuser 帐户使用硬编码密码创建并添加到confluence-users 组中,默认情况下允许查看和编辑 Confluence 中的所有非受限页面。知道硬编码密码的远程、未经身份验证的攻击者可以利用它登录 Confluence 并访问该组有权访问的任何页面。confluence-users
...