CVE-2022-26134:Confluence OGNL 注入漏洞通告

admin 2022年6月4日12:34:56安全漏洞评论51 views2926字阅读9分45秒阅读模式
赶紧点击上方话题进行订阅吧!

报告编号:B6-2022-060401

报告来源:360CERT

报告作者:360CERT

更新日期:2022-06-04

1
漏洞简述

2022年06月04日,360CERT监测发现Atlassian官方发布了Confluence OGNL 注入漏洞的风险通告,漏洞编号为CVE-2022-26134,漏洞等级:严重,漏洞评分:9.8。目前该漏洞安全补丁已发布,漏洞细节已公开,POC(概念验证代码)已公开,在野利用已发现

对此,360CERT建议广大用户及时将Confluence升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

该漏洞利用难度极低,同时利用方式已经公开,接下来将会有更多的在野利用发生,请使用Confluence的用户及时完成修复。

2
漏洞状态
评定方式 等级
安全补丁 已发布
漏洞细节 已公开
poc 已公开
利用难度 极低
360CERT评分 9.8
3
风险等级

360CERT对该漏洞的评定结果如下

评定方式 等级
威胁等级 严重
影响面 广泛
攻击者价值 极高
利用难度
360CERT评分 7.8
4
漏洞社区热度趋势

360CERT发现在6月2日官方发布漏洞公告之后,CVE-2022-26143 瞬间来到了社区热度第一位

CVE-2022-26134:Confluence OGNL 注入漏洞通告

5
漏洞详情

CVE-2022-26134: Confluence OGNL 注入漏洞

CVE: CVE-2022-26134

组件: Confluence Server & Confluence Data Center

漏洞类型: 代码执行

影响: 服务器接管

简述:Confluence ServerConfluence Data Center上存在一个OGNL注入漏洞,允许经过身份验证或在某些情况下未授权的攻击者,在Confluence ServerConfluence Data Center实例上执行任意代码。

6
影响版本

目前所有未安装最新补丁的 Confluence 都受到该漏洞影响,建议尽快升级到安全版本

7
安全版本

Confluence Server 7.4.17

Confluence Server 7.13.7

Confluence Server 7.14.3

Confluence Server 7.15.2

Confluence Server 7.16.4

Confluence Server 7.17.4

Confluence Server 7.18.1

8
修复建议

通用修复建议

对 Confluence 组件进行集中升级到安全版本

下载地址为

https://www.atlassian.com/software/confluence/download-archives

临时修补建议

替换 xwork 组件 jar

Confluence 7.15.0 - 7.18.0

首先需要停止正在运行的 Confluence

1. 下载新的 xwork 组件

xwork-1.0.3-atlassian-10.jar

https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar

2. 从以下目录删除历史 xwork<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar

3. 复制下载好的新 xwork 到<confluence-install>/confluence/WEB-INF/lib/

4. 重启 Confluence

Confluence 7.0.0 - 7.14.2

首先需要停止正在运行的 Confluence

1. 下载新的 xwork 等组件

- xwork-1.0.3-atlassian-10.jar

- webwork-2.1.5-atlassian-4.jar

- CachedConfigurationProvider.class

2. 从以下目录删除

<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3.6.jar
<confluence-install>/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar

3. 在<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup目录下

创建新文件夹webwork

复制CachedConfigurationProvider.class<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork/CachedConfigurationProvider.class

4. 重启 Confluence

9
产品侧解决方案

若想了解更多产品信息或有相关业务需求,可移步至http://360.net。

360终端安全管理系统

360终端安全管理系统是在360安全大脑极智赋能下,以大数据、云计算、人工智能等新技术为支撑,以可靠服务为保障,集防病毒、漏洞与补丁管理、Win7盾甲、EDR等安全防护功能于一体,有效检测终端恶意代码,实时阻断武器化漏洞利用攻击,保障政企终端的安全运行。

CVE-2022-26134:Confluence OGNL 注入漏洞通告

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人获取对应产品。

CVE-2022-26134:Confluence OGNL 注入漏洞通告

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

CVE-2022-26134:Confluence OGNL 注入漏洞通告

10
时间线

2022-06-03 Atlassian 官方发布通告

2022-06-04 360CERT发布通告

11
参考链接

1、 https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

12
特制报告相关说明

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT推出了安全通告特制版报告订阅服务,以便用户做资料留存、传阅研究与查询验证。

今后特制报告将不再提供公开下载,用户可扫描下方二维码进行服务订阅。

CVE-2022-26134:Confluence OGNL 注入漏洞通告

CVE-2022-26134:Confluence OGNL 注入漏洞通告
360CERT

https://cert.360.cn/

进入官网查看更多资讯

长按扫码关注我们
CVE-2022-26134:Confluence OGNL 注入漏洞通告
CVE-2022-26134:Confluence OGNL 注入漏洞通告
点击在看,进行分享
CVE-2022-26134:Confluence OGNL 注入漏洞通告

原文始发于微信公众号(三六零CERT):CVE-2022-26134:Confluence OGNL 注入漏洞通告

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月4日12:34:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  CVE-2022-26134:Confluence OGNL 注入漏洞通告 http://cn-sec.com/archives/1085518.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: