漏洞预警|Atlassian Confluence 远程代码执行漏洞(CVE-2022-26134)通告

admin 2022年6月5日17:17:58安全漏洞评论26 views1041字阅读3分28秒阅读模式


漏洞描述

    近日,Atlassian官方发布了Confluence Server和Data Center OGNL 注入漏洞(CVE-2022-26134)的安全公告。该漏洞的CVSS评分为10分,目前漏洞细节与PoC已被公开披露,且被检测到存在在野利用。

      Atlassian Confluence是Atlassian公司出品的专业wiki程序。攻击者可利用漏洞在未经身份验证的情况下,远程构造OGNL表达式进行注入,在Confluence Server或Data Center上执行任意代码。请相关用户尽快自检并采取措施进行防护。


复现截图



云影安全平台第一时间增加对该漏洞检测能力



漏洞预警|Atlassian Confluence 远程代码执行漏洞(CVE-2022-26134)通告


漏洞版本

1.3.0 <= Confluence Server and Data Center < 7.4.17


7.13.0 <= Confluence Server and Data Center < 7.13.7


7.14.0 <= Confluence Server and Data Center < 7.14.3


7.15.0 <= Confluence Server and Data Center < 7.15.2


7.16.0 <= Confluence Server and Data Center < 7.16.4


7.17.0 <= Confluence Server and Data Center < 7.17.4


7.18.0 <= Confluence Server and Data Center < 7.18.1


安全版本

Confluence Server and Data Center 7.4.17


Confluence Server and Data Center 7.13.7


Confluence Server and Data Center 7.14.3


Confluence Server and Data Center 7.15.2


Confluence Server and Data Center 7.16.4


Confluence Server and Data Center 7.17.4


Confluence Server and Data Center 7.18.1


漏洞状态

漏洞细节

漏洞PoC

在野利用

已公开

已公开

已公开



修复建议

官方建议用户升级至最新版本,以保证服务的安全性及稳定性。


下载链接:https://www.atlassian.com/software/confluence/download-archives


漏洞预警|Atlassian Confluence 远程代码执行漏洞(CVE-2022-26134)通告

原文始发于微信公众号(云影安全团队):漏洞预警|Atlassian Confluence 远程代码执行漏洞(CVE-2022-26134)通告

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月5日17:17:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  漏洞预警|Atlassian Confluence 远程代码执行漏洞(CVE-2022-26134)通告 http://cn-sec.com/archives/1086311.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: