安全通告
Atlassian Confluence 远程代码执行漏洞安全风险通告
发布日期:2021-8-27
漏洞描述
近日,监测到Atlassian官方发布了Atlassian Confluence OGNL表达式注入漏洞通告(CVE-2021-26084)。经过身份验证的攻击者(在某些场景下无需身份验证),能利用该漏洞在系统上执行任意代码。当Atlassian Confluence在设置→用户管理(User Management)→用户注册选项(User Signup Options)启用了“允许通过注册创建账号”(Allow people to sign up to create their account)功能时,非管理员用户或未经身份验证的用户可以访问易受攻击的接口。目前官方已发布修复版本和缓解措施,请用户尽快自查修复。
漏洞编号
CVE-2021-26084
漏洞危害
Atlassian Confluence Server and Data Center允许经过身份验证的攻击者(在某些场景下无需身份验证),利用该漏洞在系统上执行任意代码。
漏洞等级
高危
受影响版本
Atlassian Confluence Server and Data Center version < 6.13.23
6.14.0 ≤ Atlassian Confluence Server and Data Center version < 7.4.11
7.5.0 ≤ Atlassian Confluence Server and Data Center version < 7.11.5
7.12.0 ≤ Atlassian Confluence Server and Data Center version < 7.12.5
其中Atlassian Confluence Cloud不受影响
修复方案
1、通用修补建议
根据影响版本中的信息,升级到以下安全版本:6.13.23、7.4.11、7.11.6、7.12.5、7.13.0。
2、临时修补建议
如果无法立即升级Confluence,请参考官方通告Mitigation(缓解)一栏里针对Linux/Windows下用户给出的临时建议。
参考链接
- https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html