一、漏洞概述
近日,绿盟科技CERT监测到Atlassian官方发布了Confluence Server和Data Center OGNL 注入漏洞(CVE-2022-26134)的安全公告,远程攻击者在未经身份验证的情况下,可构造OGNL表达式进行注入,实现在Confluence Server或Data Center上执行任意代码,CVSS评分为10。目前该漏洞细节与PoC已被公开披露,且被检测到存在在野利用。请相关用户尽快采取措施进行防护。
Atlassian Confluence是Atlassian公司出品的专业wiki程序。它可以作为一个知识管理的工具,通过它能够实现团队成员之间的协作和知识共享。
绿盟科技CERT已成功复现此漏洞:
参考链接:
https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
二、影响范围
受影响版本
- 1.3.0 <= Confluence Server and Data Center < 7.4.17
- 7.13.0 <= Confluence Server and Data Center < 7.13.7
- 7.14.0 <= Confluence Server and Data Center < 7.14.3
- 7.15.0 <= Confluence Server and Data Center < 7.15.2
- 7.16.0 <= Confluence Server and Data Center < 7.16.4
- 7.17.0 <= Confluence Server and Data Center < 7.17.4
- 7.18.0 <= Confluence Server and Data Center < 7.18.1
不受影响版本
- Confluence Server and Data Center 7.4.17
- Confluence Server and Data Center 7.13.7
- Confluence Server and Data Center 7.14.3
- Confluence Server and Data Center 7.15.2
- Confluence Server and Data Center 7.16.4
- Confluence Server and Data Center 7.17.4
- Confluence Server and Data Center 7.18.1
三、 漏洞检测
3.1 人工检测
用户可通过查看当前Confluence版本是否在受影响范围内,对当前服务是否受此漏洞影响进行排查。点击
,选择“关于Confluence”,即可对当前版本进行查看。
四、漏洞防护
4.1 官方升级
官方建议用户升级至最新版本,以保证服务的安全性及稳定性。下载链接:https://www.atlassian.com/software/confluence/download-archives
可参考下表,升级至对应修复版本:
| 受影响版本 | 修复版本 |
| 1.3.0 – 7.4.16 | 7.4.17 |
| 7.13.0 – 7.13.6 | 7.13.7 |
| 7.14.0 – 7.14.2 | 7.14.3 |
| 7.15.0 – 7.15.1 | 7.15.2 |
| 7.16.0 – 7.16.3 | 7.16.4 |
| 7.17.0 – 7.17.3 | 7.17.4 |
| 7.18.0 | 7.18.1 |
4.2 临时防护措施
若相关用户暂时无法进行升级操作,也可通过以下步骤来缓解该问题:
对于 Confluence 7.15.0 – 7.18.0:
如果在集群中运行 Confluence,则需要在每个节点上重复此过程。您不需要关闭整个集群。
1、关闭 Confluence。
2、下载 xwork-1.0.3-atlassian-10.jar 到Confluence服务器。链接:
https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar
3、将xwork-1.0.3-atlassian-8.jar删除或移出Confluence 安装目录。文件路径:
<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar
注意:请用户不要在该目录中留下旧JAR文件的副本。
4、将下载的xwork-1.0.3-atlassian-10.jar文件复制到以下目录中。目录路径:
<confluence-install>/confluence/WEB-INF/lib/
5、检查xwork-1.0.3-atlassian-10.jar文件权限是否与同一目录中的其他文件相同。
6、重启 Confluence。
请记住,如果您在集群中运行 Confluence,请确保在所有节点上运行此脚本。
对于Confluence 7.0.0 – Confluence 7.14.2:
如果在集群中运行 Confluence,则需要在每个节点上重复此过程。您不需要关闭整个集群。
1、关闭 Confluence。
2、下载 xwork-1.0.3-atlassian-10.jar、webwork-2.1.5-atlassian-4.jar和CachedConfigurationProvider.class 三个文件到 Confluence Windows 服务器。链接分别为:
https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar
https://packages.atlassian.com/maven-internal/opensymphony/webwork/2.1.5-atlassian-4/webwork-2.1.5-atlassian-4.jar
https://confluence.atlassian.com/doc/files/1130377146/1137639562/3/1654274890463/CachedConfigurationProvider.class
3、将xwork-1.0.3.6.jar与webwork-2.1.5-atlassian-3.jar删除或移出Confluence 安装目录。文件路径分别为:
<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3.6.jar
<confluence-install>/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar
注意:请用户不要在该目录中留下以上旧JAR文件的副本。
4、将下载的xwork-1.0.3-atlassian-10.jar文件复制到以下目录中。目录路径:
<confluence-install>/confluence/WEB-INF/lib/
5、将下载的webwork-2.1.5-atlassian-4.jar文件复制到以下目录中。目录路径:
<confluence-install>/confluence/WEB-INF/lib/
6、检查下载的新文件权限是否与同一目录中的其他文件相同。
7、切换到以下目录
<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup
(1)在setup目录下创建一个名为webwork的新目录
(2)将CachedConfigurationProvider.class复制到创建好的webwork目录中。目录路径:
<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
(3)检查CachedConfigurationProvider.class文件权限是否与同一目录中的其他文件相同。
8、重启 Confluence。
请记住,如果您在集群中运行 Confluence,请确保在所有节点上运行此脚本。
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。