Confluence 未授权 RCE (CVE-2019-3396) 漏洞分析

最新推荐文章于 2025-05-20 13:45:50 发布
最新推荐文章于 2025-05-20 13:45:50 发布
阅读量1.5k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 网络安全 漏洞 晓得哥的技术之路
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44058342/article/details/89217160
本文详细分析了Confluence的未授权远程代码执行(RCE)漏洞(CVE-2019-3396),涉及Widget Connector组件中的服务端模板注入。通过研究补丁,作者发现攻击者可能利用此漏洞进行目录穿越和RCE。漏洞关键在于Template_param参数,允许外部传入模板路径。经过调试和测试,发现在某些版本中,利用file://或特定协议可以绕过目录限制,实现本地和远程模板加载,从而执行命令。文章还提到了漏洞影响范围和检测方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

看到官方发布了预警,于是开始了漏洞应急。漏洞描述中指出Confluence Server与Confluence Data Center中的Widget Connector存在服务端模板注入漏洞,攻击者能利用此漏洞能够实现目录穿越与远程代码执行。
在这里插入图片描述
确认漏洞点是Widget Connector,下载最新版的比对补丁,发现在com\atlassian\confluence\extra\widgetconnector\WidgetMacro.java里面多了一个过滤,这个应该就是这个漏洞最关键的地方。
在这里插入图片描述
可以看到

this.sanitizeFields =
Collections.unmodifiableList(Arrays.asList(VelocityRenderService.TEMPLATE_PARAM));

而TEMPLATE_PARAM的值就是_template,所以这个补丁就是过滤了外部传入的_template参数。

public interface VelocityRenderService { public static final String
WIDTH_PARAM = “width”; public static final String HEIGHT_PARAM =
“height”; public static final String TEMPLATE_PARAM = “_template”;

翻了一下Widget Connector里面的文件,发现TEMPLATE_PARAM就是模板文件的路径。

public class FriendFeedRenderer implements WidgetRenderer { private
static final String MATCH_URL = “friendfeed.com”; private static
final String PATTERN = "friendfeed.com/(\w+)/?"; private static
final String VELOCITY_TEMPLATE =
“com/atlassian/confluence/extra/widgetconnector/templates/simplejscript.vm”;

private VelocityRenderService velocityRenderService; …
public String getEmbeddedHtml(String url, Map<String, String> params)
{
params.put(VelocityRenderService.TEMPLATE_PARAM, VELOCITY_TEMPLATE);
return velocityRenderService.render(getEmbedUrl(url), params); }

加载外部的链接时,会调用相对的模板去渲染,如上,模板的路径一般是写死的,但是也有例外,补丁的作用也说明有人突破了限制,调用了意料之外的模板,从而造成了模板注入。

在了解了补丁和有了一些大概的猜测之后,开始尝试。

首先先找到这个功能,翻了一下官方的文档,找到了这个功能,可以在文档中嵌入一些视频,文档之类的。
在这里插入图片描述
看到这个,有点激动了,因为在翻补丁的过程中,发现了几个参数,url,width,height正好对应着这里,那_template是不是也从这里传递进去的?

随便找个Youtube视频插入试试,点击预览,抓包。
在这里插入图片描述
在params中尝试插入_template参数,好吧,没啥反应。。
在这里插入图片描述
开始debug模式,因为测试插入的是Youtube视频,所以调用的是com/atlassian/confluence/extra/widgetconnector/video/YoutubeRenderer.class

public class YoutubeRenderer implements WidgetRenderer,
WidgetImagePlaceholder { private static final

最低0.47元/天 解锁文章

200万优质内容无限畅学
Atlassian Confluence CVE-2022-26134 RCE漏洞
4SecNet团队专栏
04-22 1368
漏洞环境搭建前期主要搭建动态调试环境,但是一直失败(这里主要记录下动态调试环境搭建过程,待之后再碰到类似的问题,希望能够解决)通常称为服务端小程序,是服务端的程序,用于处理及响应客户的请求。之后即可直接调试(这次是成功了的,可以正常动态调试,反思和之前不一样的操作就是在弹出。直接对比补丁包的修改,入手点参考网上已有的分析报告.主要参考链接在文末给出.填入密钥,因为我这里已经注册过了,所以直接填入密钥,没注册过,可以点击。的环境基本上已经搭建完毕了,接下来进行网站设置,我选择的是。(直接进行动态调试)
[ vulhub漏洞复现篇 ] Drupal 远程代码执行漏洞CVE-2019-6339)
qq_51577576的博客
02-20 897
[ vulhub漏洞复现篇 ] Drupal 远程代码执行漏洞CVE-2019-6339) Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成,在GPL2.0及更新协议下发布。Drupal core 7.62之前的7.x版本、8.6.6之前的8.6.x版本和8.5.9之前的8.5.x版本中的内置phar stream wrapper(PHP)存在远程代码执行漏洞。远程攻击者可利用该漏洞执行任意的php代码。
Confluence 未授权漏洞分析CVE-2023-22515)
hackzkaq的博客
11-28 1215
在处理完上述工作后,Struts2 就会调用拦截器链中的拦截器,这些拦截器会根据用户请求参数值去更新 ValueStack 对象顶层节点的相应属性的值,最后会传到 Action 对象,并将 ValueStack 对象中的属性值,赋给 Action 类的相应属性。总的来说, 因为 方法的一些逻辑问题, 导致这个类自身对传入参数的过滤并没有生效, 我们最终还是可以通过 的形式去调用当前 action 的 getter / setter, 并不需要关心方法本身或者它的 returnType 是否使用了 注解。
常见的 CVE 漏洞以及缓冲区溢出漏洞
最新发布
ruanjiananquan99的博客
05-20 1087
缓冲区溢出漏洞的危害在于攻击者可通过精心构造的输入,控制程序执行流程甚至获取系统权限。随着现代操作系统和编译器防御机制的增强(如 ASLR、DEP),传统溢出攻击难度增加,但在未打补丁的旧系统或未加固的程序中仍存在风险。开发者需从代码层面避免此类漏洞,而用户应及时更新系统和软件以防范攻击。
Confluence未授权模板注入/代码执行(CVE-2019-3396)
公众号shadow sock7
04-04 6907
https://jira.atlassian.com/browse/CONFSERVER-57974 https://github.com/knownsec/pocsuite3/blob/master/pocsuite3/pocs/20190404_WEB_Confluence_path_traversal.py Poc POST /rest/tinymce/1/macro/preview HTT...
漏洞复现|(CVE-2019-3396Confluence文件读取&远程命令执行
weixin_42282189的博客
10-22 1390
作者: 墨阳 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 前言 1、漏洞简介 Confluence是一个专业的企业知识管理与协同软件,常用于构建企业wiki。它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。Confluence Server 与 Confluence Data Center 中的 Widget Connector 存在服务端模板注入漏洞,攻击者构造特定请求可远程遍历服务器任意文件,进而可以包含恶意文件来执行代码.
(转)Confluence 未授权 RCE (CVE-2019-3396) 漏洞分析
葡萄城技术团队博客
04-16 1932
看到官方发布了预警,于是开始了漏洞应急。漏洞描述中指出Confluence Server与Confluence Data Center中的Widget Connector存在服务端模板注入漏洞,攻击者能利用此漏洞能够实现目录穿越与远程代码执行。 确认漏洞点是Widget Connector,下载最新版的比对补丁,发现在com\atlassian\confluence\extra\widget...
Atlassian Confluence RCE漏洞复现(CVE-2023-22527)
0xSec
01-23 2537
Atlassian Confluence/template/aui/text-inline.vm接口处存在velocity模板注入,未经身份验证的攻击者可利用此漏洞构造恶意请求远程代码执行,可导致服务器失陷
Confluence RCE CVE-2019-3396 详细分析与调试
u010704579的博客
12-12 788
Confluence RCE CVE-2019-3396
Atlassian Confluence 路径穿越与命令执行漏洞CVE-2019-3396
黑白的博客
12-07 2251
声明 好好学习,天天向上 漏洞描述 Atlassian Confluence是企业广泛使用的wiki系统,其6.14.2版本前存在一处未授权的目录穿越漏洞,通过该漏洞,攻击者可以读取任意文件,或利用Velocity模板注入执行任意命令。 影响范围 6.6.12版本之前所有版本 6.7.0-6.12.2版本 6.13.3之前的所有6.13.x版本 6.14.2之前的所有6.14.x版本 复现过程 这里使用6.10.2版本 使用vulhub cd /app/vulhub-master/confluence/CV
CVE-2019-3396Confluence 文件读取漏洞复现
nex1less的博客
11-26 4838
0x01 漏洞描述 Atlassian Confluence是企业广泛使用的wiki系统,其6.14.2版本前存在一处未授权的目录穿越漏洞,通过该漏洞,攻击者可以读取任意文件,或利用Velocity模板注入执行任意命令。 0x02 漏洞环境 1.根据我过往博客安装vulhub 2.cd 到指定目录: cd vulhub/confluence/CVE-2019-3396 ...
利用Vulnhub复现漏洞 - Atlassian Confluence 路径穿越与命令执行漏洞CVE-2019-3396
JiangBuLiu的博客
06-28 2211
Atlassian Confluence 路径穿越与命令执行漏洞CVE-2019-3396)Vulnhub官方复现教程漏洞原理复现漏洞启动环境漏洞复现 Vulnhub官方复现教程 https://vulhub.org/#/environments/confluence/CVE-2019-3396/ 漏洞原理 Atlassian Confluence是企业广泛使用的wiki系统,其6.14.2版本...
CVE-2019-3396 实战反弹shell
weixin_45439698的博客
07-22 2940
前言 距离4月4日Confluence官方发布远程命令执行高危漏洞的安全更新距今已快一周的时间。在网上也陆续爆出了一系列的POC,但是这些POC仅局限于测试是否存在漏洞,或者就是只是命令执行,并不能进行shell的反弹,如果不能反弹shell,那要这洞有何用。 于是我花了一下午的时间去进行测试,才有了这篇利用该漏洞进行实战反弹shell的文章。 准备 鉴于网上已有一系列的分析文章,这里我也不做漏洞...
CVE -2022-26134漏洞复现(Confluence OGNL 注入rce漏洞)
qq_17754023的博客
06-04 5559
Atlassian ConfluenceAtlassian Confluence是一个专业的企业知识管理与协同软件,主要用于公司内员工创建知识库并建立知识管理流程,也可以用于构建企业wiki。其使用简单,但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。因此,该系统被国内较多知名互联网企业所采用,应用范围较广,因此该漏洞威胁影响范围较大。 0x02 漏洞概述Atlassian Confluence存在远程代码执行漏洞,攻击者可以利用该漏洞直接获取目标系统权限。...
CVE-2019-3396 Confluence RCE漏洞简单粗暴复现
qq_42886216的博客
09-29 1445
CVE-2019-3396 Confluence RCE漏洞简单粗暴复现 1,前言 网上也有很多关于该漏洞的说明和复现,不再做过多阐述,在复现该漏洞时踩了一些坑,然后发现了一个快速复现的方法,所以本篇文章介绍的是如何简单快速地复现该漏洞。 2.漏洞复现过程简述 (1)rm文件 需求:需要远程包含一个后缀是.rm的文件,文件内容如下 #set ($e="exp") #set ($a=$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime
CVE-2019-8451(Jira未授权SSRF漏洞)
qq_41048303的博客
04-09 4951
CVE-2019-8451(Jira未授权SSRF漏洞) 1.漏洞概述 jira的/plugins/servlet/gadgets/makeRequest资源存在ssrf漏洞。 2.环境搭建 使用docker 进行搭建 docker pull cptactionhank/atlassian-jira:7.8.0 docker run --detach --publish 8080:8080 cptactionhank/atlassian-jira:7.8.0 访问ip:8080进行安装jira,安装过程需
Vulhub漏洞系列:Atlassian Confluence 路径穿越与命令执行漏洞CVE-2019-3396
weixin_43072923的博客
05-20 1502
Vulhub漏洞系列:Atlassian Confluence 路径穿越与命令执行漏洞CVE-2019-3396)00.前言01.Atlassian Confluence 简介02.漏洞描述03.漏洞复现**0x01安装****0x02.漏洞复现** 00.前言 这篇文章将对该漏洞进行简介并复现,同时简要说明Vulhub的使用方法,适合小白一起学习,大佬看看就好☺ 01.Atlassian Confluence 简介   Atlassian Confluence(简称Confluence)是一个专业的
CVE-2019-3396vulfocus
01-02
### CVE-2019-3396 漏洞详情 CVE-2019-3396 是 Atlassian Confluence Server 和 Data Center 中的一个严重远程代码执行 (RCE) 漏洞。该漏洞存在于服务器端模板引擎中,攻击者可以通过精心构造的请求利用此漏洞,在受影响的应用程序上实现任意命令执行。 #### 影响范围 - **产品**: Atlassian Confluence Server 和 Data Center - **版本影响**: - 版本 5.6.0 到 5.10.14 - 版本 6.0.0 到 6.6.12 - 版本 6.7.0 到 6.15.8[^1] #### 安全风险评估 由于该漏洞允许未经身份验证的攻击者通过网络发送特制的数据包来触发 RCE 条件,因此被评定为高危级别。如果成功利用,则可能导致完全控制系统的能力,进而造成数据泄露或其他恶意活动。 ```bash # 示例:检测是否存在易受攻击版本的方法之一 curl -X GET "http://example.com/confluence/rest/api/serverInfo" ``` 上述命令可以用来获取目标系统的版本信息以便确认其是否位于已知脆弱范围内。 ### 解决方案与缓解措施 针对这一安全问题,官方已经发布了补丁更新: - 用户应尽快升级到最新稳定版以修复此漏洞- 对于无法立即升级的情况,建议采取临时性的防护策略,比如限制对 Confluence 的访问权限仅限内部可信 IP 地址;关闭不必要的功能模块和服务接口等。 此外,在 Vulfocus 平台上也可以找到关于如何设置实验环境以及测试该漏洞的具体指导文档和支持资源,帮助研究人员更好地理解和防范此类安全隐患。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值