Confluence OGNL表达式注入漏洞复现与分析(CVE-2022-26134)

本文详细介绍了CVE-2022-26134,一个影响Confluence Server和Data Center的OGNL表达式注入漏洞。漏洞允许未认证攻击者执行任意代码。文章涵盖漏洞概述、环境搭建、复现过程、漏洞分析和EXP利用方法。通过对比补丁,揭示了漏洞修复的关键在于xwork组件的修改。
摘要由CSDN通过智能技术生成

0x01. 漏洞概述

在受影响的 Confluence Server 和 Data Center 版本中,存在一个 OGNL 表达式注入漏洞,该漏洞允许未经身份验证的攻击者在 Confluence Server 或 Data Center 实例上执行任意代码。

影响范围:

  • Atlassian Confluence Server and Data Center < 7.4.17
  • 7.5.0 ≤ Atlassian Confluence Server and Data Center < 7.13.7
  • 7.14.0 ≤ Atlassian Confluence Server and Data Center < 7.14.3
  • 7.15.0 ≤ Atlassian Confluence Server and Data Center < 7.15.2
  • 7.16.0 ≤ Atlassian Confluence Server and Data Center < 7.16.4
  • 7.17.0 ≤ Atlassian Confluence Server and Data Center < 7.17.4
  • 7.18.0 ≤ Atlassian Confluence Server and Data Center < 7.18.1

0x02. 环境搭建

  • Ubuntu 18.04

  • confluence:7.4.4

wget https://downloads.atlassian.com/software/confluence/downloads/atlassian-confluence-7.4.4-x64.bin
chmod +x atlassian-conf
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值