headless 曰く、

Atlassian の Questions for Confluence アプリでハードコードされた認証情報使用の脆弱性が確認されたそうだ (セキュリティアドバイザリー、 Jira、 Neowin の記事、 CVE-2022-26138)。

Questions for Confluence はコラボレーションツール Confluence に Q&A 機能を追加するアプリ。脆弱性のあるバージョン (2.7.34 / 2.7.35 / 3.0.2) を Confluence Server または Data Center で有効にすると、パスワードがハードコードされた「disabledsystemuser」という名前のユーザーを confluence-users グループに作成するという。そのため、ハードコードされたパスワードを知るリモートの攻撃者は、これを悪用してログインし、confluence-users グループのユーザーのアクセスが認められたすべての情報へアクセス可能になる。

脆弱性はバージョン 2.7.38 / 3.0.5 で修正されており、アップデートすればアカウント disabledsystemuser が作成されなくなるほか、作成済みの場合は削除される。ただし、Confluence が Atlassian Crowd など読み取り専用の外部ディレクトリを使用する構成になっている場合、外部ディレクトリからユーザーを手作業で削除する必要があるとのことだ。