【原创0day】Atlassian Confluence 远程代码执行漏洞（CVE-2023-22518）

长亭应急响应 黑伞安全 2023-10-31 17:59

Confluence是由Atlassian开发的一款协作式知识管理和团队协作工具。近期，长亭科技安全研究员发现 Atlassian Confluence 中存在一个远程代码执行漏洞，并将其上报至监管单位。10月31日， Confluence官方发布公告公开并修复了该漏洞。该漏洞的恶意利用对应用数据完整性具有较大的破坏性，存在重大数据丢失风险，强烈建议及时修复漏洞。
漏洞描述

Description 

01

漏洞成因在复杂的软件架构中，包的继承和命名空间的使用提供了强大的灵活性，但也带来了潜在的安全风险。当子包继承父包时，它们也继承了父包的接口，但并不总是继承相关的安全控制。在 Confluence 这个案例中，Confluence 滥用了 Struts2 的继承关系，从而导致可以一定程度绕过它自身的权限校验，最终通过部分接口串联利用实现无需认证的远程代码执行。漏洞影响成功利用这个漏洞的攻击者可以在一定程度上绕过身份验证，而后可以通过串联后台接口，无需认证即可控制并且接管服务器。需要特别注意的是，该漏洞利用会导致 Confluence 数据清空，对应用数据完整性产生不可逆的影响。影响版本 Affects 02Confluence Data Center and Server 所有版本修复版本7.x 版本的用户需更新至 7.19.16 以上8.3.x 版本的用户需更新至 8.3.4 以上8.4.x 版本的用户需更新至 8.4.4 以上8.5.x 版本的用户需更新至 8.5.3 以上8.6.x 版本的用户需更新至 8.6.1以上解决方案 Solution 03临时缓解方案备份 Confluence 应用数据。如非必要，不要将 Confluence 放置在公网上。或通过网络ACL策略限制访问来源，例如只允许来自特定IP地址或地址段的访问请求。升级修复方案官方已经推出了安全修复版本，强烈建议所有受影响的用户尽快访问官方网站下载安装新版本修复漏洞。漏洞复现Reproduction 04
检测工具

Detection 

05****

牧云本地检测工具

检测方法：在本地主机上执行以下命令即可扫描：./atlassian_confluence_rce_cve_2023_22518_scanner_linux_amd64 scan
工具获取方式：
https://stack.chaitin.com/tool/detail/1249

产品支持

Support 

06
云图：默认支持该产品的指纹识别，同时支持该漏洞的POC原理检测。雷池：已发布自定义规则升级包，支持该漏洞利用的检测。牧云：使用管理平台 23.05.001 及以上版本的用户可通过升级平台下载应急漏洞情报库升级包（EMERVULN-23.10.031）“漏洞应急”功能支持该漏洞的检测；其它管理平台版本请联系牧云技术支持团队获取该功能。时间线 Timeline 0710月16日 长亭安全研究员发现该漏洞10月31日 官方发布新版本修复漏洞10月31日 长亭安全应急响应中心发布通告参考资料：[1].https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html

长亭应急响应服务

全力进行产品升级

及时将风险提示预案发送给客户

检测业务是否收到此次漏洞影响

请联系长亭应急团队

7*24小时，守护您的安全

第一时间找到我们：

邮箱：[email protected]

应急响应热线：4000-327-707

收录于合集 

2023漏洞风险提示

26
个

上一篇
【已复现】F5 BIG-IP 远程代码执行漏洞(CVE-2023-46747)