前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Confluence OGNL漏洞(CVE-2022-26134)复现

Confluence OGNL漏洞(CVE-2022-26134)复现

作者头像
乌鸦安全
发布2022-06-07 19:03:41
3.4K0
发布2022-06-07 19:03:41
举报
文章被收录于专栏:乌鸦安全乌鸦安全

乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。

乌鸦安全拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!

本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!

1. 漏洞描述

Confluence是一款专业的企业知识管理与协同软件,常用于企业wiki的构建,支持团队成员间开展信息共享、文档协作、集体讨论和信息推送等工作,具有较为便捷的编辑和站点管理特性。该软件由Atlassian公司负责开发和维护。

2022年6月3日,国家信息安全漏洞共享平台(CNVD)收录了Confluence远程代码执行漏洞(CNVD-2022-43094,对应CVE-2022-26134)。未经身份验证的攻击者利用该漏洞可在目标服务器执行任意代码。目前,漏洞细节信息尚未公开,厂商已发布漏洞缓解建议,暂未发布修复补丁。

代码语言:javascript
复制
参考链接:https://www.cnvd.org.cn/webinfo/show/7756

2. 影响版本

所有未打补丁的版本均受到影响,请尽快升级至以下版本

代码语言:javascript
复制
7.4.17
7.13.7
7.14.3
7.15.2
7.16.4
7.17.4
7.18.1
参考链接:https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

3. 漏洞复现

本文仅对其进行简单复现,相关脚本请到下面的GitHub下载

代码语言:javascript
复制
https://github.com/crow821/

使用方法:

代码语言:javascript
复制
python3 CVE-2022-26134.py http://127.0.0.1 whoami

警告⚠️

漏洞仅限本地复现使用,请遵守网络安全法律法规,违者使用与本程序开发者无关

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2022-06-05,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 乌鸦安全 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 1. 漏洞描述
  • 2. 影响版本
  • 3. 漏洞复现
    • 警告⚠️
    相关产品与服务
    多因子身份认证
    多因子身份认证(Multi-factor Authentication Service,MFAS)的目的是建立一个多层次的防御体系,通过结合两种或三种认证因子(基于记忆的/基于持有物的/基于生物特征的认证因子)验证访问者的身份,使系统或资源更加安全。攻击者即使破解单一因子(如口令、人脸),应用的安全依然可以得到保障。
    领券
    问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档