- CNNVD编号:未知
- 危害等级: 高危
- CVE编号:CVE-2021-26084
- 漏洞类型: 代码注入
- 威胁类型:远程
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2021-08-27
- 更新时间:2021-08-27
漏洞简介
1、组件介绍
Atlassian Confluence是澳大利亚Atlassian公司的一套专业的企业知识管理与协同软件,也可以用于构建企业WiKi。该软件可实现团队成员之间的协作和知识共享。
2、漏洞描述
2021年8月26日,深信服安全团队监测到一则Atlassian Confluence组件存在OGNL注入漏洞的信息,漏洞编号:CVE-2021-26084,漏洞威胁等级:高危。
漏洞是由于数据处理不当,攻击者可利用该漏洞在未授权的情况下(在某些情况下未经身份验证的用户),构造恶意数据执行OGNL表达式注入攻击,最终导致命令执行。
漏洞公示
受影响实体
Atlassian Confluence用于团队成员之间的协作和知识共享,主要部署在内网,所以互联网上分布较少,主要集中在在美国、德国和荷兰。
目前受影响的版本:
Atlassian Confluence Server/Data Center < 6.13.23
Atlassian Confluence Server/Data Center 6.14.x
Atlassian Confluence Server/Data Center 6.15.x
Atlassian Confluence Server/Data Center 7.0.x
Atlassian Confluence Server/Data Center 7.1.x
Atlassian Confluence Server/Data Center 7.2.x
Atlassian Confluence Server/Data Center 7.3.x
Atlassian Confluence Server/Data Center < 7.4.11
Atlassian Confluence Server/Data Center 7.5.x
Atlassian Confluence Server/Data Center 7.6.x
Atlassian Confluence Server/Data Center 7.7.x
Atlassian Confluence Server/Data Center 7.8.x
Atlassian Confluence Server/Data Center 7.9.x
Atlassian Confluence Server/Data Center 7.10.x
Atlassian Confluence Server/Data Center < 7.11.6
Atlassian Confluence Server/Data Center < 7.12.5
补丁
1、如何检测组件系统版本
在主页最下方即可查看版本信息。
2、官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://www.atlassian.com/software/confluence/download-archives