CVE-2022-26134 Confluence OGNL注入远程代码执行漏洞复现

CVE-2022-26134 Confluence OGNL注入远程代码执行漏洞复现

漏洞简述

在受影响的 Confluence Server 和 Data Center 版本中,存在一个 OGNL 注入漏洞,该漏洞允许未经身份验证的攻击者在 Confluence Server 或 Data Center 实例上执行任意代码。

影响版本范围

目前受影响的 Atlassian Confluence Server and Data Center 版本:

  • Atlassian Confluence Server and Data Center < 7.4.17
  • 7.5.0  ≤ Atlassian Confluence Server and Data Center < 7.13.7
  • 7.14.0 ≤ Atlassian Confluence Server and Data Center < 7.14.3
  • 7.15.0 ≤ Atlassian Confluence Server and Data Center < 7.15.2
  • 7.16.0 ≤ Atlassian Confluence Server and Data Center < 7.16.4
  • 7.17.0 ≤ Atlassian Confluence Server and Data Center < 7.17.4
  • 7.18.0 ≤ Atlassian Confluence Server and Data Center < 7.18.1

Shodan 查询语法

由于shodan不支持正则或者or查询。针对Confluence版本的识别只能通过单个http.html进行查询。

由于Confluence首页显示版本号,可以将该特征进行指纹识别。

Confluence http.html:"7."

漏洞exp

https://github.com/Nwqda/CVE-2022-26134

漏洞环境搭建

可以直接使用vulhub之前的confluence CVE-2021-26084 RCE漏洞的镜像进行复现,也在这个漏洞版本范围内。

漏洞复现

使用上面的exp。

python3 cve-2022-26134.py https://target.com "ps aux"

溯源排查

Confluence 默认不记录请求信息。如果使用Nginx进行反向代理,可排查Nginx日志。

修复建议

当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:

https://www.atlassian.com/software/confluence/download-archives

临时修复建议

Atlassian Confluence 7.15.0 – 7.18.0 的用户:

如果在集群内运行 Confluence 则需要在每个节点上重复以下过程:

  1. 关闭 Confluence
  2. 下载https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar
  3. 删除或者将 /confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar 移出 Confluence  安装目录。注:不要在目录中留下旧的  JAR  文件
  4. 将下载的 xwork-1.0.3-atlassian-10.jar 文件复制到 /confluence/WEB-INF/lib/ 目录中
  5. 检查新的 xwork-1.0.3-atlassian-10.jar 文件权限是否和所在目录的其他文件权限一致。
  6. 启动 Confluence
Print Friendly, PDF & Email
赞赏

微信赞赏支付宝赞赏

Zgao

愿有一日,安全圈的师傅们都能用上Zgao写的工具。