2021年8月26日，武漢云之巔應急響應中心監(jiān)測到Atlassian官方發(fā)布公告，披露了CVE-2021-26084 Atlassian Confluence 遠程代碼執(zhí)行漏洞。

漏洞描述

Atlassian Confluence是Atlassian公司出品的專業(yè)的企業(yè)知識管理與協(xié)同軟件，可用于構(gòu)建企業(yè)文庫等。2021年8月26日Atlassian官方發(fā)布公告，披露了CVE-2021-26084 Atlassian Confluence 遠程代碼執(zhí)行漏洞。攻擊者在經(jīng)過認證后或在部分場景下無需認證，即可構(gòu)造惡意請求，造成OGNL表達式注入，從而執(zhí)行任意代碼，控制服務器。武漢云之巔應急響應中心提醒 Atlassian Confluence 用戶盡快采取安全措施阻止漏洞攻擊。

漏洞細節(jié)：未公開

漏洞POC：未公開

漏洞EXP：未公開

在野利用：未知

漏洞評級

CVE-2021-26084 Atlassian Confluence 遠程代碼執(zhí)行漏洞 高危

影響版本

Atlassian Confluence Server/Data Center < 6.13.23

Atlassian Confluence Server/Data Center < 7.4.11

Atlassian Confluence Server/Data Center < 7.11.6

Atlassian Confluence Server/Data Center < 7.12.5

Atlassian Confluence Server/Data Center < 7.13.0

安全版本

Atlassian Confluence Server/Data Center 6.13.23

Atlassian Confluence Server/Data Center 7.4.11

Atlassian Confluence Server/Data Center 7.11.6

Atlassian Confluence Server/Data Center 7.12.5

Atlassian Confluence Server/Data Center 7.13.0

安全建議

1、根據(jù)影響及其安全版本排查并升級到安全版本。

2、若無法暫無法升級，可按照相關(guān)鏈接中緩解章節(jié)運行相關(guān)腳本，以緩解該漏洞。

相關(guān)鏈接

https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html