当前位置:首页 > 漏洞预警 > 正文

Atlassian Confluence OGNL注入漏洞(CVE-2021-26084)预警

发布时间:2021-08-31 19:59:46,来源:上海斗象、奇安信、神州绿盟、天融信、深信服

      一、 基本情况

8月25日,Atlassian官方发布了Confluence Server Webwork OGNL注入漏洞的风险通告,漏洞CVE编号:CVE-2021-26084。经过身份验证的攻击者能利用该漏洞在目标系统上执行任意代码。目前官方已修复该漏洞,建议受影响用户及时更新至安全版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。

      二、 漏洞等级

高危

      三、 漏洞描述

Atlassian Confluence是Atlassian公司出品的专业的企业知识管理与协同软件,可用于构建企业文库等。

远程攻击者在经过身份验证或在特定环境下未经身份验证的情况下,通过构造恶意数据执行OGNL表达式进行注入攻击,实现在Confluence Server或Data Center上执行任意代码,最终控制服务器。

      四、 影响范围

Atlassian Confluence Server/Data Center < 6.13.23

Atlassian Confluence Server/Data Center < 7.4.11

Atlassian Confluence Server/Data Center < 7.11.6

Atlassian Confluence Server/Data Center < 7.12.5

Atlassian Confluence Server/Data Center < 7.13.0

      五、 安全建议

1. 建议升级至6.13.23、7.4.11、7.11.6、7.12.5和7.13.0安全版本。

下载链接:

https://www.atlassian.com/software/confluence/download-archives

2. 若相关用户暂时无法进行升级操作,可通过官方给出的临时解决方法缓解漏洞影响,参考链接:

https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html#

六、 参考链接

https://jira.atlassian.com/browse/CONFSERVER-67940