近期，Atlassian發布了安全更新，以解決Confluence服務器和數據中心中的一個嚴重硬編碼憑據漏洞，該漏洞編號為CVE-2022-26138，未經身份驗證的遠程攻擊者可以利用該漏洞登錄未打補丁的服務器。一旦安裝了Questions for Confluence 應用程序（版本 2.7.34、2.7.35 和 3.0.2），就會創建一個用戶名為“ disabledsystemuser ”的 Confluence 用戶帳戶。根據 Atlassian的說法，該帳戶允許管理員將數據從應用程序遷移到Confluence Cloud。并且該帳戶是使用硬編碼密碼創建的，并被添加到 confluence-users組，默認情況下允許查看和編輯 Confluence中的所有非受限頁面。

根據Atlassian 發布的公告，當Confluence Server或Data Center上的Questions for Confluence 應用程序啟用時，它會創建一個用戶名為 disabledsystemuser 的 Confluence 用戶帳戶。此帳戶旨在幫助將數據從應用程序遷移到 Confluence Cloud 的管理員。disabledsystemuser 帳戶是使用硬編碼密碼創建的，并被添加到 confluence-users 組中，默認情況下允許查看和編輯 Confluence 中的所有非受限頁面 。 知道硬編碼密碼的未經身份驗證的攻擊者可以利用它登錄 Confluence 并訪問該組可以訪問的任何頁面。

該公司指出，卸載Questions for Confluence 應用程序并不能解決此漏洞，因為在卸載應用程序后，disabledsystemuser 帳戶不會被刪除。受影響的 Confluence Server 或 Data Center 實例的管理員可以通過以下操作修復此漏洞：

• 選項 1：更新到 Confluence 的非易受攻擊版本
• 選項 2：禁用或刪除 disabledsystemuser 帳戶

幸運的是，目前Atlassian并沒有收到利用此漏洞進行的野外攻擊。要確定是否有人使用硬編碼密碼登錄到 disabledsystemuser 帳戶，管理員可以獲取用戶上次登錄時間的列表，如果硬編碼帳戶的上次身份驗證時間為空，則意味著該帳戶從未用于訪問設備。