confluence注入漏洞
某日发现conflunce服务器cpu,内存全部被打满了
这台confluence应用的访问是用nginx做的反向代理,没法直接访问,也没有直接开放访问端口
于是排查nginx代理服务器
排查nginx代理服务器的访问日志,发现有几个异常ip访问了”/pages/createpage-entervariables.action?SpaceKey=x”这个路径,并发起了POST请求
confluence访问日志
在nginx上设置一条规则,只要访问这个路径,就返回403
location ~ .*\/pages\/createpage-entervariables.action.*$ {
return 403;
}
重启后,继续观察,发现再有相关路径的访问全部被拦截
经过查找资料发现,这是confluence的一个漏洞,名称叫做注入漏洞,编号:CVE-2021-26084
以下是国家安全信息漏洞库对于漏洞的描述:https://www.cnnvd.org.cn/home/loophole
Atlassian Confluence Server是澳大利亚Atlassian公司的一套具有企业知识管理功能,并支持用于构建企业WiKi的协同软件的服务器版本。
Atlassian Confluence Server and Data Center 存在注入漏洞,经过身份验证的用户在Confluence 服务器或数据中心实例上执行任意代码。以下产品及版本收到影响:All 4.x.x versions、All 5.x.x versions、All 6.0.x versions、All 6.1.x versions、All 6.2.x versions、All 6.3.x versions、All 6.4.x versions、All 6.5.x versions、All 6.6.x versions、All 6.7.x versions、All 6.8.x versions、All 6.9.x versions、All 6.10.x versions、All 6.11.x versions、All 6.12.x versions、All 6.13.x versions before 6.13.23、All 6.14.x versions、All 6.15.x versions、All 7.0.x versions、All 7.1.x versions、All 7.2.x versions、All 7.3.x versions、All 7.4.x versions before 7.4.11、All 7.5.x versions、All 7.6.x versions、All 7.7.x versions、All 7.8.x versions、All 7.9.x versions、All 7.10.x versions、All 7.11.x versions before 7.11.6、All 7.12.x versions before 7.12.5。
根据官网文档介绍,需要将confluence至少升级到以下版本即可修复:
>=6.13.23
>=7.4.11
>=7.11.6
>=7.12.5
>=7.13.0
官网链接:https://jira.atlassian.com/browse/CONFSERVER-67940
所以有效的方法就是升级解决