Confluence WIKI OGNL注入漏洞(CVE-2022-26134)

简述

6月4日,墨菲安全实验室监测发现Atlassian修复了Confluence Server 和 Confluence Data Center 中的OGNL注入漏洞。

Atlassian Confluence是企业常用的wiki系统,攻击者无需认证可利用漏洞在Confluence Server 或 Confluence Data Center 系统中执行任意代码。

  • CVSS评分为9.8分,评级为严重,按照官方描述该漏洞受影响版本为:所有受支持的 Confluence Server 和 Confluence Data Center 版本、Confluence Server 和 Confluence Data Center 1.3.0 之后的版本。
  • 漏洞已经复现,并且存在多种在野利用情况
Confluence WIKI OGNL注入漏洞(CVE-2022-26134)

(漏洞复现截图)

  • 官方已经发布新版本,建议企业用户高优排查暴露在外网的服务并进行修复,安全版本包括:7.4.17、7.13.7、7.14.3、7.15.2、7.16.4、7.17.4、7.18.1

缺陷分析

问题原因较为简单,由于部分URI被作为OGNL(java中常用的表达式语言)解析,造成表达式注入。

confluence/WEB-INF/lib/webwork-2.1.5-*.jar中可以看到获取了最后一个/之前的路径作为命名空间:

Confluence WIKI OGNL注入漏洞(CVE-2022-26134)

confluence/WEB-INF/lib/xwork-1.0.3.6.jar中对应的命名空间进行解析取值

Confluence WIKI OGNL注入漏洞(CVE-2022-26134)

可以发现对应使用了OGNL解析

Confluence WIKI OGNL注入漏洞(CVE-2022-26134)

修复建议

升级:

建议用户升级到最新的支持版本。

缓解:

如无法立即升级 Confluence,作为缓解方法,可以通过为特定版本的产品更新以下文件来缓解该问题。

1.对于 Confluence 7.15.0 – 7.18.0

1)关闭 Confluence

2)下载新的jar包到Confluence 服务器:xwork-1.0.3-atlassian-10.jar

3)从Confluence 安装目录中移除旧的jar包:

<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar

4)将先前下载的xwork-1.0.3-atlassian-10.jar包,复制到Confluence 安装目录:<confluence-install>/confluence/WEB-INF/lib/ (这里要注意新的jar包权限要和同目录中其他文件相同)

5)启动Confluence

2.对于 Confluence 7.0.0 – 7.14.2

1)关闭 Confluence

2)下载新的jar包到Confluence 服务器:

3)从Confluence 安装目录中移除旧的jar包,如:

<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3.6.jar
<confluence-install>/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar

4)将先前下载的xwork-1.0.3-atlassian-10.jar、webwork-2.1.5-atlassian-4.jar包,复制到Confluence 安装目录:<confluence-install>/confluence/WEB-INF/lib/ (这里要注意新的jar包权限要和同目录中其他文件相同)

5)切换到目录

  • 创建一个名为webwork的新目录
  • CachedConfigurationProvider.class复制到<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork(确保权限和所有权和同目录文件相同)
  • 启动 Confluence

参考链接:

https://www.atlassian.com/software/confluence/download-archives

https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

https://www.rapid7.com/blog/post/2022/06/02/active-exploitation-of-confluence-cve-2022-26134/

关于

墨菲安全是一家为您提供专业的软件供应链安全管理的科技创新公司,能力包括开源组件安全检测、云原生容器安全、开源组件许可证合规管理、软件成分分析(SCA)、软件供应链安全评估等,丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。公司核心团队来自百度、华为、贝壳等企业,拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。

墨菲安全实验室是墨菲安全旗下的安全研究团队,专注于软件供应链安全相关领域的技术研究,实验室研究方向包括开源组件、闭源软件及其他供应链软件的缺陷分析,从而打造墨菲安全专业的缺陷知识库。

发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/vulnerability-analysis/4267.html

(1)
上一篇 2023年1月4日 18:17
下一篇 2023年1月4日 18:38

相关推荐

  • Spring 新版本修复RCE漏洞,墨菲安全开源工具可应急排查

    漏洞简述 3月31日,spring 官方通报了 Spring 相关框架存在远程代码执行漏洞,并在 5.3.18 和 5.2.20.RELEASE 中修复了该漏洞。 漏洞评级:严重 影响组件:org.springframework:spring-beans 影响版本:< 5.3.18 和 < 5.2.20.RELEASE 的Spring框架均存在该…

    2023年1月4日
  • Apache Spark UI 命令注入漏洞(CVE-2022-33891)

    OSCS(开源软件供应链安全社区)推出免费的漏洞、投毒情报订阅服务,社区用户可通过机器人订阅情报信息,具体订阅方式详见:https://www.oscs1024.com/?src=wx 漏洞概述 7月18日,OSCS监测到Apache发布安全公告,修复了一个Apache Spark UI中存在的命令注入漏洞。漏洞编号:CVE-2022-33891,漏洞威胁等…

    漏洞分析 2023年1月5日
  • Apache Kafka Connect 模块JNDI注入(CVE-2023-25194)

    漏洞概述 Apache Kafka Connect服务在2.3.0 至 3.3.2 版本中,由于连接时支持使用基于JNDI认证的SASL JAAS配置,导致配置在被攻击者可控的情况下,可能通过JNDI注入执行任意代码。此漏洞不影响 Kafka server(broker),Kafka Connect服务通常用于在云平台中提供Kafka数据迁移、数据同步的管道…

    2023年2月13日
  • Fastjson官方再次披露高危漏洞,包括rocketmq、jeecg-boot等近15%的github开源项目受影响

    2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,在特定条件下可绕过默认autoType关闭限制,可能会导致远程服务器被攻击,风险影响较大。OSCS开源软件社区对此漏洞进行收录,漏洞信息如下: 漏洞评级:高危 影响组件:com.alibaba:fastjson 影响版本:&lt…

    漏洞分析 2023年1月4日
  • 二月最新漏洞列表

    Apache IoTDB-Workbench <0.13.3 存在身份验证绕过漏洞(CVE-2023-24829),Apache Linkis <1.3.1 任意客户端文件读取漏洞(CVE-2022-44644),Apache Linkis <1.3.1 存在反序列化漏洞(CVE-2022-44645),Apache InLong 存在任意文件读取漏洞(CVE-2023-24977)

    2023年2月6日

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

联系我们

400-180-9568

邮件:hi@murphysec.com

工作时间:周一至周五,10:00-19:00,节假日休息

关注公众号

20230105-100741