CVE26134Confluence远程代码执行漏洞POC验

　　【漏洞预警】CVE202226134Confluence远程代码执行漏洞POC验证与修复过程一、漏洞详情
　　AtlassianConfluence是Atlassian公司出品的专业wiki程序。它可以作为一个知识管理的工具，通过它能够实现团队成员之间的协作和知识共享。
　　2022年6月3日，Atlassian官方发布官方公告，披露存在CVE202226134Confluence远程代码执行漏洞在野攻击漏洞事件。漏洞利用无需身份认证，可直接前台远程执行任意代码。
　　漏洞详情：https：confluence。atlassian。comdocconfluencesecurityadvisory202206021130377146。html
　　Atlassian官方发布了ConfluenceServer和DataCenterOGNL注入漏洞（CVE202226134）的安全公告，远程攻击者在未经身份验证的情况下，可构造OGNL表达式进行注入，实现在ConfluenceServer或DataCenter上执行任意代码，CVSS评分为10。
　　目前该漏洞细节与PoC已被公开披露，且被检测到存在在野利用。请相关用户尽快采取措施进行防护。
　　（图片可点击放大查看）二、漏洞检测1、人工检测
　　用户可通过查看当前Confluence版本是否在受影响范围内，对当前服务是否受此漏洞影响进行排查。
　　点击图片，选择关于Confluence，即可对当前版本进行查看。
　　（图片可点击放大查看）2、POC检测
　　如下图所示，POC脚本进行攻击测试
　　可以看出可以进行任意代码执行，直接拿到服务器Shell后台权限
　　（图片可点击放大查看）三、漏洞防护措施3。1官方升级至安全版本
　　官方建议用户升级至最新版本，以保证服务的安全性及稳定性。
　　（图片可点击放大查看）
　　下载链接：https：www。atlassian。comsoftwareconfluencedownloadarchives3。2、临时防护措施
　　对于Confluence7。15。07。18。0：aaa
　　（图片可点击放大查看）
　　对于Confluence7。0。0Confluence7。14。2：
　　（图片可点击放大查看）
　　免责声明：本文上述漏洞信息内容收集于互联网，如果有不妥之处，敬请谅解。如有侵权内容，请联系本文作者进行删除。四、漏洞修复过程实践
　　下面以7。4。1版本为例，使用临时防护措施进行修复
　　先下载如下三个文件并上传到confluence服务器https：packages。atlassian。commaveninternalopensymphonyxwork1。0。3atlassian10xwork1。0。3atlassian10。jarhttps：packages。atlassian。commaveninternalopensymphonywebwork2。1。5atlassian4webwork2。1。5atlassian4。jarhttps：confluence。atlassian。comdocfiles1130377146113763956231654274890463CachedConfigurationProvider。class
　　修复过程〔rootcentos〕cdoptCVE202226134repair〔rootcentosCVE202226134repair〕lltotal524rwrr。1rootroot7186Jun510：55CachedConfigurationProvider。classrwrr。1rootroot352630Oct142021webwork2。1。5atlassian4。jarrwrr。1rootroot170369Jun216：39xwork1。0。3atlassian10。jar〔rootcentosCVE202226134repair〕〔rootcentosCVE202226134repair〕〔rootcentosCVE202226134repair〕〔rootcentosCVE202226134repair〕cdoptatlassianconfluence〔rootcentosconfluence〕lltotal1340rwrr。1rootroot975517Jun510：33atlassianagent。jardrwxrxrx。3rootroot4096Jun510：35binrwrr。1rootroot19540Jun112020BUILDING。txtdrwxrxrx。3rootroot4096Jun510：31confdrwxrxrx。27rootroot4096Jun510：31confluencerwrr。1rootroot5545Jun112020CONTRIBUTING。mdrwrr。1rootroot128417Jun510：31install。regdrwxrxrx。7rootroot4096Jun510：31jredrwxrxrx。2rootroot4096Jun510：31librwrr。1rootroot58153Jun112020LICENSEdrwxrxrx。2rootroot69632Jun510：31licensesdrwx。2confluenceroot4096Jun510：35logsrwrr。1rootroot2401Jun112020NOTICErwrr。1rootroot2291Jun112020README。htmlrwrr。1rootroot3334Jun112020README。mdrwrr。1rootroot1202Jun112020README。txtrwrr。1rootroot7072Jun112020RELEASENOTESrwrr。1rootroot16738Jun112020RUNNING。txtdrwxrxrx。4rootroot4096Jun510：31synchronyproxydrwx。3confluenceroot4096Jun510：39temprwx。1rootroot13586Jun112020uninstalldrwxrxrx。2rootroot4096Jun112020webappsdrwx。3confluenceroot4096Jun510：35work〔rootcentosconfluence〕cdconfluenceWEBINFlib〔rootcentoslib〕mkdiroptoldbackup〔rootcentoslib〕mvxwork1。0。3。6。jaroptoldbackup〔rootcentoslib〕mvwebwork2。1。5atlassian3。jaroptoldbackup〔rootcentoslib〕cpoptCVE202226134repairxwork1。0。3atlassian10。jaroptatlassianconfluenceconfluenceWEBINFlib〔rootcentoslib〕cpoptCVE202226134repairwebwork2。1。5atlassian4。jaroptatlassianconfluenceconfluenceWEBINFlib〔rootcentoslib〕〔rootcentoslib〕cdoptatlassianconfluenceconfluenceWEBINFclassescomatlassianconfluencesetup〔rootcentossetup〕lltotal732rwrr。1rootroot280Jun112020atlassianbundledplugins。ziprwrr。1rootroot737335Jun112020demosite。ziprwrr。1rootroot15Jun112020hsqldbserver。acl〔rootcentossetup〕mkdirwebwork〔rootcentossetup〕cdwebwork〔rootcentoswebwork〕cpoptCVE202226134repairCachedConfigurationProvider。class。〔rootcentoswebwork〕
　　（图片可点击放大查看）
　　重启confluence服务optatlassianconfluencebinstopconfluence。shoptatlassianconfluencebinstartconfluence。sh
　　（图片可点击放大查看）
　　POC验证可以看到已经无法进行代码漏洞执行，漏洞修复成功
　　（图片可点击放大查看）