备案控制台
开发者社区 开发与运维 文章 正文

【漏洞预警】CVE-2022-26134 Confluence 远程代码执行漏洞POC验证与修复过程

2022-12-04 691
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 【漏洞预警】CVE-2022-26134 Confluence 远程代码执行漏洞POC验证与修复过程

【漏洞预警】CVE-2022-26134 Confluence 远程代码执行漏洞POC验证与修复过程


一、漏洞详情


Atlassian Confluence是Atlassian公司出品的专业wiki程序。它可以作为一个知识管理的工具,通过它能够实现团队成员之间的协作和知识共享。


2022年6月3日,Atlassian官方发布官方公告,披露存在CVE-2022-26134 Confluence 远程代码执行漏洞在野攻击漏洞事件。漏洞利用无需身份认证,可直接前台远程执行任意代码。


漏洞详情:


https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html


Atlassian官方发布了Confluence Server和Data Center OGNL 注入漏洞(CVE-2022-26134)的安全公告,远程攻击者在未经身份验证的情况下,可构造OGNL表达式进行注入,实现在Confluence Server或Data Center上执行任意代码,CVSS评分为10。

 

目前该漏洞细节与PoC已被公开披露,且被检测到存在在野利用。请相关用户尽快采取措施进行防护。


640.png


二、漏洞检测


1、人工检测


用户可通过查看当前Confluence版本是否在受影响范围内,对当前服务是否受此漏洞影响进行排查。


点击图片,选择“关于Confluence”,即可对当前版本进行查看。

640.png


2、POC检测


如下图所示,POC脚本进行攻击测试

可以看出可以进行任意代码执行,直接拿到服务器Shell后台权限


640.png


三、漏洞防护措施


3.1 官方升级至安全版本


官方建议用户升级至最新版本,以保证服务的安全性及稳定性。


640.png

下载链接:https://www.atlassian.com/software/confluence/download-archives


3.2、临时防护措施


对于 Confluence 7.15.0 - 7.18.0:aaa


640.png

对于Confluence 7.0.0 - Confluence 7.14.2:

640.png


免责声明:本文上述漏洞信息内容收集于互联网,如果有不妥之处,敬请谅解。如有侵权内容,请联系本文作者进行删除。


四、漏洞修复过程实践


下面以7.4.1版本为例,使用临时防护措施进行修复

先下载如下三个文件并上传到confluence服务器


https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar
https://packages.atlassian.com/maven-internal/opensymphony/webwork/2.1.5-atlassian-4/webwork-2.1.5-atlassian-4.jar
https://confluence.atlassian.com/doc/files/1130377146/1137639562/3/1654274890463/CachedConfigurationProvider.class


修复过程


[root@centos ~]# cd /opt/CVE-2022-26134_repair/
[root@centos CVE-2022-26134_repair]# ll
total 524
-rw-r--r--. 1 root root   7186 Jun  5 10:55 CachedConfigurationProvider.class
-rw-r--r--. 1 root root 352630 Oct 14  2021 webwork-2.1.5-atlassian-4.jar
-rw-r--r--. 1 root root 170369 Jun  2 16:39 xwork-1.0.3-atlassian-10.jar
[root@centos CVE-2022-26134_repair]# 
[root@centos CVE-2022-26134_repair]# 
[root@centos CVE-2022-26134_repair]# 
[root@centos CVE-2022-26134_repair]# cd /opt/atlassian/confluence/
[root@centos confluence]# ll
total 1340
-rw-r--r--.  1 root       root 975517 Jun  5 10:33 atlassian-agent.jar
drwxr-xr-x.  3 root       root   4096 Jun  5 10:35 bin
-rw-r--r--.  1 root       root  19540 Jun 11  2020 BUILDING.txt
drwxr-xr-x.  3 root       root   4096 Jun  5 10:31 conf
drwxr-xr-x. 27 root       root   4096 Jun  5 10:31 confluence
-rw-r--r--.  1 root       root   5545 Jun 11  2020 CONTRIBUTING.md
-rw-r--r--.  1 root       root 128417 Jun  5 10:31 install.reg
drwxr-xr-x.  7 root       root   4096 Jun  5 10:31 jre
drwxr-xr-x.  2 root       root   4096 Jun  5 10:31 lib
-rw-r--r--.  1 root       root  58153 Jun 11  2020 LICENSE
drwxr-xr-x.  2 root       root  69632 Jun  5 10:31 licenses
drwx------.  2 confluence root   4096 Jun  5 10:35 logs
-rw-r--r--.  1 root       root   2401 Jun 11  2020 NOTICE
-rw-r--r--.  1 root       root   2291 Jun 11  2020 README.html
-rw-r--r--.  1 root       root   3334 Jun 11  2020 README.md
-rw-r--r--.  1 root       root   1202 Jun 11  2020 README.txt
-rw-r--r--.  1 root       root   7072 Jun 11  2020 RELEASE-NOTES
-rw-r--r--.  1 root       root  16738 Jun 11  2020 RUNNING.txt
drwxr-xr-x.  4 root       root   4096 Jun  5 10:31 synchrony-proxy
drwx------.  3 confluence root   4096 Jun  5 10:39 temp
-rwx------.  1 root       root  13586 Jun 11  2020 uninstall
drwxr-xr-x.  2 root       root   4096 Jun 11  2020 webapps
drwx------.  3 confluence root   4096 Jun  5 10:35 work
[root@centos confluence]# cd confluence/WEB-INF/lib/
[root@centos lib]# mkdir /opt/old_backup
[root@centos lib]# mv xwork-1.0.3.6.jar /opt/old_backup/
[root@centos lib]# mv webwork-2.1.5-atlassian-3.jar /opt/old_backup/
[root@centos lib]# cp /opt/CVE-2022-26134_repair/xwork-1.0.3-atlassian-10.jar /opt/atlassian/confluence/confluence/WEB-INF/lib/
[root@centos lib]# cp /opt/CVE-2022-26134_repair/webwork-2.1.5-atlassian-4.jar /opt/atlassian/confluence/confluence/WEB-INF/lib/
[root@centos lib]# 
[root@centos lib]# cd /opt/atlassian/confluence/confluence/WEB-INF/classes/com/atlassian/confluence/setup/
[root@centos setup]# ll
total 732
-rw-r--r--. 1 root root    280 Jun 11  2020 atlassian-bundled-plugins.zip
-rw-r--r--. 1 root root 737335 Jun 11  2020 demo-site.zip
-rw-r--r--. 1 root root     15 Jun 11  2020 hsqldb-server.acl
[root@centos setup]# mkdir webwork
[root@centos setup]# cd webwork/
[root@centos webwork]# cp /opt/CVE-2022-26134_repair/CachedConfigurationProvider.class ./
[root@centos webwork]#

640.png

重启confluence服务


/opt/atlassian/confluence/bin/stop-confluence.sh 
/opt/atlassian/confluence/bin/start-confluence.sh


640.png


POC验证可以看到已经无法进行代码漏洞执行,漏洞修复成功

640.png

文章标签:
Shell
安全
yuanfan_2012
目录
相关文章
CTO技术共享
|
存储 监控 安全
Zabbix登录绕过漏洞复现(CVE-2022-23131)
最近在复现zabbix的漏洞(CVE-2022-23131),偶然间拿到了国外某公司zabbix服务器。Zabbix Sia Zabbix是拉脱维亚Zabbix SIA(Zabbix Sia)公司的一套开源的监控系统。该系统支持网络监控、服务器监控、云监控和应用监控等。Zabbix Frontend 存在安全漏洞,该漏洞源于在启用 SAML SSO 身份验证(非默认)的情况下,恶意行为者可以修改会话数据,因为存储在会话中的用户登录未经过验证。 未经身份验证的恶意攻击者可能会利用此问题来提升权限并获得对 Zabbix 前端的管理员访问权限。
CTO技术共享
1655 0
Zabbix登录绕过漏洞复现(CVE-2022-23131)
Vista_AX
|
安全 数据安全/隐私保护
亿邮电子邮件系统远程命令执行漏洞 漏洞复现
亿邮电子邮件系统远程命令执行漏洞 漏洞复现
Vista_AX
496 0
雷石安全实验室
|
安全 测试技术
漏洞复现--CVE-2020-0796getshell
漏洞复现--CVE-2020-0796getshell
雷石安全实验室
155 0
漏洞复现--CVE-2020-0796getshell
Vista_AX
|
XML 安全 Oracle
Weblogic XMLDecoder 远程代码执行漏洞 CVE-2017-10271 漏洞复现
Weblogic XMLDecoder 远程代码执行漏洞 CVE-2017-10271 漏洞复现
Vista_AX
116 0
Khan安全攻防实验室
|
安全 Windows Python
漏洞告之:SMBv3协议远程代码执行漏洞(附自查脚本)
SMBv3协议远程代码执行漏洞
Khan安全攻防实验室
453 0
yuanfan_2012
|
安全 Linux
【紧急漏洞】Linux polkit本地权限提升漏洞(CVE-2021-4034)POC复现过程与修复方法
【紧急漏洞】Linux polkit本地权限提升漏洞(CVE-2021-4034)POC复现过程与修复方法
yuanfan_2012
553 0
【紧急漏洞】Linux polkit本地权限提升漏洞(CVE-2021-4034)POC复现过程与修复方法
crx349
|
安全 PHP
ThinkPHP < 5.0.24 远程代码执行高危漏洞 修复方案
漏洞描述由于ThinkPHP5.0框架对Request类的method处理存在缺陷,导致黑客构造特定的请求,可直接GetWebShell。 漏洞评级严重 影响版本ThinkPHP 5.0系列 < 5.
crx349
25420 0
技术小能手
|
安全 网络架构
【高危漏洞预警】CVE-2017-9805:Struts2 REST插件远程执行命令漏洞(S2-052)
2017年9月5日,Struts官方发布一个严重级别的安全漏洞,该漏洞编号为:S2-052,在一定条件下,攻击者可以利用该漏洞远程发送精心构造的恶意数据包,获取业务数据或服务器权限,存在高安全风险。
技术小能手
3468 0
网站安全
|
安全 关系型数据库 Java
网站漏洞怎么修复代码漏洞
jeecms 最近被爆出高危网站漏洞,可以导致网站被上传webshell木马文件,受影响的版本是jeecms V6.0版本到jeecmsV7.0版本。该网站系统采用的是JAVA语言开发,数据库使用的是oracle,mysql,sql数据库,服务器系统支持windows2008,windows2012,以及linux centos系统。
网站安全
1612 0
云安全专家
|
云安全 安全 网络安全
蠕虫利用新公开的Confluence RCE漏洞进行大规模攻击,用户应尽快修复
4月10日下午,阿里云安全监测到一起使用Confluence RCE漏洞(CVE-2019-3396)进行大规模攻击的蠕虫事件,并快速作出响应处理。Confluence是一个专业的企业知识管理与协同软件,可用于构建企业wiki。
云安全专家
16865 0