【漏洞通告】Atlassian Confluence 远程代码执行漏洞(CVE-2022-26134)

2022年6月2日,Atlassian官方发布公告,披露了CVE-2022-26134 Atlassian Confluence 远程代码执行漏洞。

 

漏洞描述

Atlassian Confluence是Atlassian公司出品的专业的企业知识管理与协同软件,可用于构建企业文库等。2022年6月2日Atlassian官方发布公告,披露了CVE-2022-26134 Atlassian Confluence 远程代码执行漏洞。攻击者可构造恶意请求,在无需登录的情况下可执行任意代码,控制服务器。阿里云应急响应中心提醒 Atlassian Confluence 用户尽快采取安全措施阻止漏洞攻击。

 

漏洞细节:公开

漏洞POC:公开

漏洞EXP:公开

在野利用:存在

 

漏洞评级

CVE-2022-26134 Atlassian Confluence 远程代码执行漏洞 高危

 

安全版本

Atlassian Confluence Server 7.4.17

Atlassian Confluence Server 7.13.7

Atlassian Confluence Server 7.14.3

Atlassian Confluence Server 7.15.2

Atlassian Confluence Server 7.16.4

Atlassian Confluence Server 7.17.4

Atlassian Confluence Server 7.18.1

 

安全建议

1、根据影响及其安全版本排查并升级到安全版本。

2、若暂无法升级,可按照相关链接中针对各对应版本替换相关xwork jar包,以缓解该漏洞。