Atlassian Confluence OGNL注入漏洞（CVE-2021-26084）預警

一、漏洞情況

8月25日，Atlassian官方發布了Confluence Server Webwork OGNL注入漏洞的風險通告，漏洞CVE編號：CVE-2021-26084。經過身份驗證的攻擊者能利用該漏洞在目標系統上執行任意代碼。目前官方已修復該漏洞，建議受影響用戶及時更新至安全版本進行防護，做好資產自查以及預防工作，以免遭受黑客攻擊。

二、漏洞等級

高危

三、漏洞描述

Atlassian Confluence是Atlassian公司出品的專業的企業知識管理與協同軟件，可用于構建企業文庫等。

遠程攻擊者在經過身份驗證或在特定環境下未經身份驗證的情況下，通過構造惡意數據執行OGNL表達式進行注入攻擊，實現在Confluence Server或Data Center上執行任意代碼，最終控制服務器。

四、影響范圍

• Atlassian Confluence Server/Data Center < 6.13.23
• Atlassian Confluence Server/Data Center < 7.4.11
• Atlassian Confluence Server/Data Center < 7.11.6
• Atlassian Confluence Server/Data Center < 7.12.5
• Atlassian Confluence Server/Data Center < 7.13.0

五、安全建議

1. 建議升級至6.13.23、7.4.11、7.11.6、7.12.5和7.13.0安全版本。

下載鏈接：

https://www.atlassian.com/software/confluence/download-archives

2. 若相關用戶暫時無法進行升級操作，可通過官方給出的臨時解決方法緩解漏洞影響，參考鏈接：

https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html#

六、參考鏈接

https://jira.atlassian.com/browse/CONFSERVER-67940