Atlassian Confluence 远程代码执行漏洞（CVE-2022-2

　　

　　漏洞概述

　　Confluence是一个专业的企业知识管理与协同软件，也可以用于构建企业wiki。使用简单，可以用于企业团队共享信息、文档协作、集体讨论，信息推送。

　　2022年6月3日，知道创宇404实验室通过创宇安全智脑监测到Atlassian Confluence官方发布公告称Confluence Server 和Data Center存在未授权远程代码执行漏洞，该漏洞由于Confluence将URL翻译成namespace，导致攻击者可以在URL路径中构造OGNL表达式，造成表达式注入，从而远程代码执行。该漏洞被分配编号：CVE-2022-26134。

　　漏洞等级

　　CVSS3：10.0 （严重）

　　影响版本

　　Confluence Server and Data Center >= 1.3.0

　　Confluence Server and Data Center < 7.4.17

　　Confluence Server and Data Center < 7.13.7

　　Confluence Server and Data Center < 7.14.3

　　Confluence Server and Data Center < 7.15.2

　　Confluence Server and Data Center < 7.16.4

　　Confluence Server and Data Center < 7.17.4

　　Confluence Server and Data Center < 7.18.1

　　漏洞状态

　　已发现在野利用，PoC已公开。

　　漏洞复现

　　漏洞攻击趋势

　　根据创宇安全智脑分析统计（时间范围：2022-06-04 00:00 - 2022-06-04 20:00），该漏洞自2022年6月4日凌晨1点官方释放补丁包之后，最早于凌晨4点便有少量攻击者开始利用该漏洞，至下午16点形成日内攻击顶峰，攻击量呈稳步上升之势。

　　

　　近24小时数据显示，攻击主要来自于美国和越南地区。24小时 TOP10数据如下：

　　

　　检查修复建议

　　1、更新至修复版本，具体版本如下：

　　7.4.17

　　7.13.7

　　7.14.3

　　7.15.2

　　7.16.4

　　7.17.4

　　7.18.1

　　2、如无法立即升级版本，可按照官方解决方案下载补丁包替换受影响的文件，参考链接：https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html。

　　3、创宇盾（https://c.yunaq.com/products/cyd/）用户无需升级，该漏洞默认可拦截。

　　时间线

　　2022年6月3日 04:00，Atlassian发布安全公告Confluence存在未授权远程代码执行漏洞（CVE-2022-21634）;

　　2022年6月3日09:15，知道创宇404积极防御实验室应急分析漏洞，确认云防御产品创宇盾（https://c.yunaq.com/products/cyd/）默认可拦截该漏洞；

　　2022年6月3日 09:25，知道创宇NDR流量监测系统完成相关检测规则更新，支持该漏洞检测；

　　2022年6月3日 21:55，知道创宇云监测产品ScanV（https://www.scanv.com/）更新插件，支持该漏洞检测；

　　2022年6月4日 01:00，Atlassian更新安全公告发布安全版本及补丁信息。