注：本文仅分享个人漏洞复现及排查，请勿用于非法途径。

概述

Atlassian Confluence Server and Data Center 是澳大利亚Atlassian 公司的一套专业的企业知识管理与协同软件，也可以用于构建企业 WiKi。该软件可实现团队成员之间的协作和知识共享。

2022年6月4日，深信服安全团队监测到一则 Atlassian Confluence Server and Data Center 组件存在远程代码执行漏洞的信息

影响版本

目前受影响的 Atlassian Confluence Server and Data Center 版本：

Atlassian Confluence Server and Data Center < 7.4.17

7.5.0 ≤ Atlassian Confluence Server and Data Center < 7.13.7

7.14.0 ≤ Atlassian Confluence Server and Data Center < 7.14.3

7.15.0 ≤ Atlassian Confluence Server and Data Center < 7.15.2

7.16.0 ≤ Atlassian Confluence Server and Data Center < 7.16.4

7.17.0 ≤ Atlassian Confluence Server and Data Center < 7.17.4

7.18.0 ≤ Atlassian Confluence Server and Data Center < 7.18.1

漏洞复现

网上已经有很多师傅进行复现了，这里参考：

https://github.com/jbaines-r7/through_the_wire

注：上述是针对7.15版本之前的漏洞验证，后面版本因为沙箱的原因，需要进行绕过，可参考师傅文章：

https://mp.weixin.qq.com/s/a-oci5-93Etmqak7uDSGpw

应急排查

自身日志排查

confluence自身存在日志/logs/atlassian-confluence.log，但此日志不记录web访问日志

数据流分析

如果用上述payload进行漏洞利用，首先会发起GET请求，此时服务器会回包302进行跳转

之后发起第二次请求，利用成功

第三方设备排查

如果存在第三方安全设备或web日志记录设备，因为利用方式都在get请求url种，故可以通过遍历关键字”${” 、”/login.action?os_destination=“、”index.action&permissionViolation=true“来进一步排查。

修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://www.atlassian.com/software/confluence/download-archives