风险通告
近日,奇安信CERT监测到Atlassian官方发布了Atlassian Confluence OGNL表达式注入漏洞通告(CVE-2021-26084)。经过身份验证的攻击者(在某些场景下无需身份验证),能利用该漏洞在系统上执行任意代码。当Atlassian Confluence在设置 > 用户管理(User Management) > 用户注册选项(User Signup Options)启用了“允许通过注册创建账号”(Allow people to sign up to create their account)功能时,非管理员用户或未经身份验证的用户可以访问易受攻击的接口。目前官方已发布修复版本和缓解措施,请用户尽快自查修复。
当前漏洞状态
细节是否公开 |
PoC状态 |
EXP状态 |
在野利用 |
否 |
未知 |
未知 |
未知 |
Atlassian Confluence是一个专业的企业知识管理与协同软件,并支持用于构建企业WiKi。
近日,奇安信CERT监测到Atlassian官方发布了Atlassian Confluence OGNL表达式注入漏洞通告(CVE-2021-26084)。经过身份验证的攻击者(在某些场景下无需身份验证),能利用该漏洞在系统上执行任意代码。当Atlassian Confluence在设置 > 用户管理(User Management) > 用户注册选项(User Signup Options)启用了“允许通过注册创建账号”(Allow people to sign up to create their account)功能时,非管理员用户或未经身份验证的用户可以访问易受攻击的接口。目前官方已发布修复版本和缓解措施,请用户尽快自查修复。
1、CVE-2021-26084 Atlassian Confluence OGNL注入漏洞
漏洞名称 |
Atlassian Confluence Server and Data Center OGNL注入漏洞 |
||||
漏洞类型 |
远程代码执行 |
风险等级 |
高危 |
漏洞ID |
CVE-2021-26084 |
公开状态 |
未公开 |
在野利用 |
未发现 |
||
漏洞描述 |
Atlassian Confluence Server and Data Center允许经过身份验证的攻击者(在某些场景下无需身份验证),利用该漏洞在系统上执行任意代码。 |
||||
参考链接 |
|||||
https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html |
Atlassian Confluence Server and Data Center version < 6.13.23
6.14.0 ≤ Atlassian Confluence Server and Data Center version < 7.4.11
7.5.0 ≤ Atlassian Confluence Server and Data Center version < 7.11.5
7.12.0 ≤ Atlassian Confluence Server and Data Center version < 7.12.5
其中Atlassian Confluence Cloud不受影响
6.13.23、7.4.11、7.11.6、7.12.5、7.13.0
补丁链接:https://www.atlassian.com/software/confluence/download-archives
2、缓解措施
如果不能直接升级软件版本则使用如下缓解措施:
Linux系统:
ls -l /opt/atlassian/confluence | grep bin
drwxr-xr-x 3 root root 4096 Aug 18 17:07 bin
# In this first example, we change to the 'root' user
to run the workaround script
$ sudo su root
ls -l /opt/atlassian/confluence | grep bin
drwxr-xr-x 3 confluence confluence 4096 Aug 18 17:07 bin
# In this second example, we need to change to the 'confluence' user
to run the workaround script
$ sudo su confluence
Windows系统:
注:如果您在集群中运行 Confluence,请确保在所有节点上运行此脚本来缓解此漏洞。
2021年8月26日,奇安信 CERT发布安全风险通告
文章评论