• 我的位置:
  • 首頁
  • -
  • 漏洞預(yù)警
  • -
  • 應(yīng)用
  • -
    • Atlassian Confluence OGNL注入漏洞
    • CNNVD編號:未知
    • 危害等級: 高危 
    • CVE編號:CVE-2021-26084
    • 漏洞類型: 代碼注入
    • 威脅類型:遠(yuǎn)程
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2021-08-27
    • 更新時間:2021-08-27

    漏洞簡介

    1、組件介紹

    Atlassian Confluence是澳大利亞Atlassian公司的一套專業(yè)的企業(yè)知識管理與協(xié)同軟件,也可以用于構(gòu)建企業(yè)WiKi。該軟件可實(shí)現(xiàn)團(tuán)隊(duì)成員之間的協(xié)作和知識共享。

    2、漏洞描述

    2021年8月26日,深信服安全團(tuán)隊(duì)監(jiān)測到一則Atlassian Confluence組件存在OGNL注入漏洞的信息,漏洞編號:CVE-2021-26084,漏洞威脅等級:高危。

    漏洞是由于數(shù)據(jù)處理不當(dāng),攻擊者可利用該漏洞在未授權(quán)的情況下(在某些情況下未經(jīng)身份驗(yàn)證的用戶),構(gòu)造惡意數(shù)據(jù)執(zhí)行OGNL表達(dá)式注入攻擊,最終導(dǎo)致命令執(zhí)行。

    漏洞公示

    暫無

    受影響實(shí)體

    Atlassian Confluence用于團(tuán)隊(duì)成員之間的協(xié)作和知識共享,主要部署在內(nèi)網(wǎng),所以互聯(lián)網(wǎng)上分布較少,主要集中在在美國、德國和荷蘭。


        目前受影響的版本:

    Atlassian Confluence Server/Data Center < 6.13.23

    Atlassian Confluence Server/Data Center 6.14.x

    Atlassian Confluence Server/Data Center 6.15.x

    Atlassian Confluence Server/Data Center 7.0.x

    Atlassian Confluence Server/Data Center 7.1.x

    Atlassian Confluence Server/Data Center 7.2.x

    Atlassian Confluence Server/Data Center 7.3.x

    Atlassian Confluence Server/Data Center < 7.4.11

    Atlassian Confluence Server/Data Center 7.5.x

    Atlassian Confluence Server/Data Center 7.6.x

    Atlassian Confluence Server/Data Center 7.7.x

    Atlassian Confluence Server/Data Center 7.8.x

    Atlassian Confluence Server/Data Center 7.9.x

    Atlassian Confluence Server/Data Center 7.10.x

    Atlassian Confluence Server/Data Center < 7.11.6

    Atlassian Confluence Server/Data Center < 7.12.5

    補(bǔ)丁

    1、如何檢測組件系統(tǒng)版本

     在主頁最下方即可查看版本信息。


    2、官方修復(fù)建議

    當(dāng)前官方已發(fā)布最新版本,建議受影響的用戶及時更新升級到最新版本。鏈接如下:

    https://www.atlassian.com/software/confluence/download-archives