OGNL漏洞详解
漏洞
CVE编号:CVE-2021-26084
发现日期:2021年8月24日
影响范围:Atlassian Confluence Server和Data Center多个版本,具体包括Confluence < 6.13.23、6.14.0 ≤ Confluence < 7.4.11、7.5.0 ≤ Confluence。
漏洞描述
OGNL(Object Graph Navigation Language)是一种对象图导航语言,用于在Confluence中生成动态内容,此漏洞是由于输入验证不充分导致的OGNL注入漏洞,允许未经身份验证的攻击者在受影响的系统上执行任意代码,攻击者可以通过向目标服务器发送特殊构造的请求来利用该漏洞,从而完全控制受影响的Confluence系统,这可能允许攻击者窃取敏感数据、安装恶意软件或中断操作。
漏洞影响
受影响版本:
Confluence Server and Data Center >= 1.3.0 且 < 7.4.17
Confluence Server and Data Center < 7.13.7
Confluence Server and Data Center < 7.14.3
Confluence Server and Data Center < 7.15.2
Confluence Server and Data Center < 7.16.4
Confluence Server and Data Center < 7.17.4
Confluence Server and Data Center < 7.18.1
漏洞复现环境
攻击机:Kali
漏洞环境:vulhub(/vulhub/jboss/JMXInvokerServlet-deserialization)
实验步骤
1、拉取docker,配置环境。
2、使用curl上传poc进行测试,通过构造特定的OGNL表达式,实现在Confluence Server或Data Center上执行任意代码。
修复方式
官方已发布最新版本以修复此漏洞,建议受影响的用户及时更新升级到最新版本。
OGNL漏洞是一个严重的安全漏洞,允许未经身份验证的攻击者在Confluence系统中执行任意代码,通过及时更新到最新版本,可以有效防止该漏洞被利用。
到此,以上就是小编对于ognl 漏洞的问题就介绍到这了,希望介绍的几点解答对大家有用,有任何问题和不懂的,欢迎各位朋友在评论区讨论,给我留言。
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/90123.html
