Confluence OGNL 注入漏洞的严重安全问题

最新推荐文章于 2024-03-29 16:09:55 发布
最新推荐文章于 2024-03-29 16:09:55 发布
阅读量676 收藏
点赞数
分类专栏: iSharkFly 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huyuchengus/article/details/120407731
版权

在 2021年的9月, Confluence 遇到了非常严重的安全问题。

OGNL 代表对象图导航语言;它是一种表达语言,用于获取和设置 Java 对象的属性,以及其他附加功能,例如列表投影和选择以及lambda表达式。您可以使用相同的表达式来获取和设置属性值。

CVE-2021-26084 - Confluence Server Webwork OGNL injection

Confluence Security Advisory - 2021-08-25 | Confluence Data Center and Server 7.13 | Atlassian Documentation

这个问题影响非常大,需要马上修复。

否则将会遇到非常严重的服务器安全隐患,如被注入代码后,你的服务器 CPU 利用率会全部高达 100%。

confluence-ongl-01

同时影响的版本也非常大。

建议马上修复,以避免受到攻击。

Confluence OGNL 注入漏洞的严重安全问题 - Confluence - OSSEZ

HoneyMoose
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Confluence OGNL表达式注入漏洞复现与分析(CVE-2022-26134)
Brucetg的博客
06-06 4392
在受影响的 Confluence Server 和 Data Center 版本中,存在一个 OGNL 注入漏洞,该漏洞允许未经身份验证的攻击者在 Confluence Server 或 Data Center 实例上执行任意代码。
【风险预警】Confluence Wiki OGNL注入漏洞(CVE-2022-26134)
murphysec的博客
06-04 4536
6月4日,墨菲安全实验室监测发现Atlassian修复了Confluence Server 和 Confluence Data Center 中的OGNL注入漏洞。Atlassian Confluence是企业常用的wiki系统,攻击者无需认证可利用漏洞Confluence Server 或 Confluence Data Center 系统中执行任意代码。CVSS评分为9.8分,评级为严重,按照官方描述该漏洞受影响版本为:所有受支持的 Confluence Server 和 Confluence Dat
OGNL表达式注入分析 _
最新发布
sdgfafg_25的博客
03-29 839
如一开始的例子#a=new java.lang.String("calc"),定义了一个字符串常量。
Atlassian Confluence OGNL表达式注入命令执行漏洞(CVE-2021-26084)漏洞复现
m0_64366018的博客
01-16 506
Confluence Data Center上存在一个注入漏洞漏洞编号为CVE-2021-26084。该漏洞允许经过身份验证或在某些情况下未授权的攻击者,在Confluence Server或Confluence Data Center上执行任意代码。
Java表达式注入OGNL 表达式注入
GalaxySpaceX的博客
08-23 1664
Java表达式注入OGNL 表达式注入
高危漏洞预警 | Atlassian Confluence OGNL注入命令执行漏洞复现与分析报告
Fortinet_CHINA的博客
06-16 1702
近日,Volexity(volexity.com,以下简称为:Volexity)在对从Confluence Server系统收集到的数据进行彻底审查后,发现了攻击者启动Exp以实现远程代码执行,随后Volexity重新创建了该漏洞的利用并在最新版本的Confluence Server上进行了复现。Atlassian 已确认该漏洞,并上报给CVE,确认漏洞编号为“ CVE-2022-26134。Fortinet 中国安全团队针对此次漏洞信息,进行即时响应并成功验证。......
confluence---乱码问题.docx
07-10
confluence中,因为编码问题导致的乱码现象的解决办法
confluence-questions-3.0.2.jar
10-13
CVE-2022-26138:Confluence Server硬编码漏洞利用confluence-questions-3.0.2.jar。
confluence使用手册.docx
12-03
Confluence 使用手册 Confluence 是一个功能强大且灵活的知识管理和协作平台,旨在帮助用户高效地创建、共享和管理知识内容。本手册将指导您如何入门使用 Confluence,了解其基础概念和常见操作。 一、Confluence ...
confluence镜像
07-18
confluence的docker镜像
confluence插件tableenhancer
04-16
在使用confluence平台时,插入该附件,可实现表头固定~这样向下滑动页面时,所设定的固定行数会进行固定,一直显示在页面的最上方。方便录入人员进行表格填写
struts2-OGNL表达式测试
09-28
struts2-OGNL表达式测试代码
OGNL高危拒绝服务漏洞及修复方案
10-14 385
东方联盟郭盛华/漏洞描述: OGNL缓存投毒漏洞,攻击者可利用该漏洞进行拒绝服务攻击。 影响版本: Struts2.0.0-2.3.24.1 漏洞等级: 高危 修复建议: 1、升级 OGNL到 3.0.12版本以上。 2、升级Struts到最新版。 3、使用百度云加速WAF防火墙进行防御。 4、添加网站至云观测,及时了解网站组件突发/0day漏洞。 ...
golang防止MySQL注入_Mysql读写分离+防止sql注入攻击「GO源码剖析」
weixin_32900811的博客
01-19 1147
一、读写分离和防止sql注入的必要性(foreword)1、 读写分离:一句话定义:读写分离,基本的原理是让主数据库处理事务性增、改、删操作(INSERT、UPDATE、DELETE),而从数据库处理SELECT查询操作。数据库复制被用来把事务性操作导致的变更同步到集群中的从数据库。图1-1 主从读写分离示意图读写分离的好处:(1) 增加冗余(2) 增加了机器的处理能力(3) 对于读操作为主的应用...
Maven Struts2
十年彩虹
09-10 569
org.apache.struts struts2-core ${struts.version} org.apache.struts struts2-json-plugin ${struts.version} org.apache.struts struts2-spring-plugin ${struts.version}
『Java安全』Struts2 2.1.8.1 参数名OGNL注入漏洞S2-003复现与浅析
Ho1aAs‘s Blog
08-01 1108
Struts2解析参数名称使用了OGNL表达式,构建恶意OGNL表达式会造成注入
OGNL表达式注入漏洞要成为过去了吗?
u013224189的专栏
07-18 8471
起因 Struts2今年来爆出一系列安全漏洞,以至于在官方release页面,还专门罗列了各个版本对应的CVE漏洞,也算是一大奇观。 ![struts_release](https://img-blog.csdn.net/20180716180339458?watermark/2/text/aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3UwMTMyMjQxODk=/font/5a6...
详述近期遭利用的 Atlassian Confluence OGNL 注入漏洞 (CVE-2021-26084)
smellycat000的专栏
10-14 2341
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士趋势科技公司的研究团队详述了CVE-2021-26084 的根因。Atlassian Confluence Server and Dat...
Confluence漏洞
07-28
Confluence漏洞是指在Confluence Server或Data Center的特定版本中存在的安全漏洞,攻击者可以通过构造恶意数据执行OGNL表达式进行注入攻击,最终控制服务器。\[1\]受影响的版本包括Confluence Server & Confluence ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

HoneyMoose

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值