Atlassian修复了一个关键的Confluence漏洞

发布时间：2025-12-07 20:07:31 作者：玩站小弟

近期，Atlassian发布了安全更新，以解决Confluence服务器和数据中心中的一个严重硬编码凭据漏洞，该漏洞编号为CVE-2022-26138，未经身份验证的远程攻击者可以利用该漏洞登录未打补。

近期，关键Atlassian发布了安全更新，关键以解决Confluence服务器和数据中心中的关键一个严重硬编码凭据漏洞，该漏洞编号为CVE-2022-26138 ，关键未经身份验证的关键远程攻击者可以利用该漏洞登录未打补丁的服务器。一旦安装了Questions for Confluence 应用程序（版本 2.7.34 、关键2.7.35 和 3.0.2），云计算关键就会创建一个用户名为“ disabledsystemuser ”的关键 Confluence 用户帐户。根据 Atlassian的关键说法，该帐户允许管理员将数据从应用程序迁移到Confluence Cloud。关键并且该帐户是关键使用硬编码密码创建的，并被添加到 confluence-users组，建站模板关键默认情况下允许查看和编辑 Confluence中的关键所有非受限页面。

根据Atlassian 发布的关键公告，当Confluence Server或Data Center上的关键Questions for Confluence 应用程序启用时，它会创建一个用户名为 disabledsystemuser 的 Confluence 用户帐户。此帐户旨在帮助将数据从应用程序迁移到 Confluence Cloud 的源码库管理员。disabledsystemuser 帐户是使用硬编码密码创建的，并被添加到 confluence-users 组中，默认情况下允许查看和编辑 Confluence 中的所有非受限页面。知道硬编码密码的未经身份验证的亿华云攻击者可以利用它登录 Confluence 并访问该组可以访问的任何页面。

该公司指出，卸载Questions for Confluence 应用程序并不能解决此漏洞，因为在卸载应用程序后，disabledsystemuser 帐户不会被删除。受影响的 Confluence Server 或 Data Center 实例的管理员可以通过以下操作修复此漏洞：

选项 1：更新到 Confluence 的服务器租用非易受攻击版本选项 2：禁用或删除 disabledsystemuser 帐户

幸运的是，目前Atlassian并没有收到利用此漏洞进行的野外攻击。要确定是否有人使用硬编码密码登录到 disabledsystemuser 帐户，管理员可以获取用户上次登录时间的列表，源码下载如果硬编码帐户的上次身份验证时间为空，则意味着该帐户从未用于访问设备。

Tag：

美国汽车零部件巨头 AutoZone 遭遇网络攻击
Security Affairs 网站披露，美国汽车配件零售商巨头 AutoZone 称其成为了 Clop MOVEit 文件传输网络攻击的受害者，导致大量数据泄露。AutoZone 是美国最大的汽车
2025-12-07
热化学储能在为数据中心供电方面潜力有多大？
随着世界不断数字化，对数据中心的需求正在以前所未有的速度增长。这些存储、处理和分发大量数据的数据中心消耗了大量的能源，对环境和经济构成了重大挑战。然而，一种很有前途的解决方案，正在以热化学储能(TCE
2025-12-07
紫光同芯推出全球首颗开放式架构安全芯片E450R
8月21日，2024紫光同芯合作伙伴大会在北京盛大开幕，紫光同芯发布了最新技术创新成果——全球首颗同时具有开放式硬件+软件架构的安全芯片E450R。开放式硬件架构具备开放式指令集、更强的剪裁和扩展功能
2025-12-07
Discord如何实现单服务器数百万用户扩展
在当今时代，应用的扩展性已与网络、存储、安全及数据本身构成同等重要的因素。译自How Discord Scales up to Millions of Users on a Single Guild
2025-12-07
物流巨头DP World遭网络攻击，数千集装箱滞留码头
近日，国际物流巨头DP World澳洲公司遭遇网络攻击，严重扰乱了澳大利亚多个大型港口的正常货运。DP World迪拜环球港务集团）年收入超过100亿美元，主营业务包括货运物流、港口码头运营、海事服务
2025-12-07
vivo X5Max摇一摇打开手电筒开启方法
打开X5Max手机【设置】，点击【智能体感】，将【摇一摇打开手电筒】开启即可。(如下图) 注：更多精彩教程请关注手机教程栏目。
2025-12-07