Atlassian Confluence OGNL
表达式注入漏洞
(CVE-2021-26084)
Atlassian Confluence是一个专业的企业知识管理与协同软件,也可以用于构建企业wiki。
2021年8月26日,Atlassian 官方发布安全通告,修复了一处存在于Confluence中OGNL表达式注入漏洞(CVE-2021-26084)。
2021年9月1日,漏洞相关细节及POC在网络上被公开流传。
漏洞描述
Atlassian Confluence 由于某处模版表达式解析渲染不当而导致存在OGNL表达式注入漏洞。经过授权的用户、以及某些场景下未经过授权的用户,可以通过利用此漏洞进行OGNL表达式注入攻击,最终可在服务端执行恶意代码。
影响范围
以下版本范围内的 Atlassian Confluence Server/Data Center 受到漏洞影响:
-
version < 6.13.23
-
6.14.0 ≤ version < 7.4.11
-
7.5.0 ≤ version < 7.11.5
-
7.12.0 ≤ version < 7.12.5
解决方案
厂商已提供漏洞修补方案,请及时自查Confluence Server版本是否在影响范围内。
可通过升级到如下安全版本进行漏洞修复:
-
Atlassian Confluence Server/Data Center 6.13.23
-
Atlassian Confluence Server/Data Center 7.4.11
-
Atlassian Confluence Server/Data Center 7.11.6
-
Atlassian Confluence Server/Data Center 7.12.5
-
Atlassian Confluence Server/Data Center 7.13.0
产品支持
雷池:雷池可提供虚拟补丁防护,可咨询长亭科技技术支持人员获取雷池虚拟补丁。
洞鉴:自定义poc或升级引擎可支持检测该漏洞,可咨询长亭科技技术支持人员获取洞鉴poc脚本或检测升级包。
参考资料
-
https://jira.atlassian.com/browse/CONFSERVER-67940
-
https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html
文章评论