CVE-2022-26134

Atlassian Confluence Server/Data Center

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-06-02

Официальное описание

Atlassian Confluence Server and Data Center contain a remote code execution vulnerability that allows for an unauthenticated attacker to perform remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2022-26134 представляет собой критическую уязвимость типа OGNL-инъекция (Object-Graph Navigation Language) в Atlassian Confluence Server и Data Center. Уязвимость позволяет неавторизованному удаленному злоумышленнику выполнить произвольный код (RCE) в контексте пользователя, запустившего приложение.

Проблема заключается в некорректной обработке HTTP-заголовков и URL-адресов, что позволяет внедрять вредоносные OGNL-выражения. Поскольку для эксплуатации не требуются учетные данные, уязвимость имеет максимальный рейтинг по шкале CVSS (10.0).

Как исправить

Основным и рекомендуемым способом устранения является обновление Confluence до актуальной версии, в которой уязвимость закрыта.

  1. Определите текущую версию вашего экземпляра Confluence.
  2. Скачайте и установите исправленную версию в соответствии с вашей веткой обновлений:
  3. Если вы используете 7.4.x: обновитесь до 7.4.17 или выше.
  4. Если вы используете 7.13.x: обновитесь до 7.13.7 или выше.
  5. Если вы используете 7.14.x: обновитесь до 7.14.3 или выше.
  6. Если вы используете 7.15.x: обновитесь до 7.15.2 или выше.
  7. Если вы используете 7.16.x: обновитесь до 7.16.4 или выше.
  8. Если вы используете 7.17.x: обновитесь до 7.17.4 или выше.
  9. Если вы используете 7.18.x: обновитесь до 7.18.1 или выше.

Временные меры

Если немедленное обновление невозможно, примените временное исправление (Workaround), заменив JAR-файлы в директории установки Confluence.

Для версий Confluence 7.15.0 - 7.18.0:

  1. Остановите службу Confluence.
  2. Скачайте патч-файл xwork-1.0.3-atlassian-10.jar с официального портала Atlassian.
  3. Удалите старый файл из директории библиотек:
rm <confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar
  1. Скопируйте новый файл в ту же директорию:
cp xwork-1.0.3-atlassian-10.jar <confluence-install>/confluence/WEB-INF/lib/
  1. Проверьте права доступа на новый файл (он должен принадлежать пользователю, от которого запущен Confluence).
  2. Запустите службу Confluence.

Для версий Confluence 6.0.0 - 7.14.2:

  1. Остановите службу Confluence.
  2. Скачайте файлы xwork-1.0.3-atlassian-10.jar, webwork-2.1.5-atlassian-4.jar и CachedConfigurationProvider.class.
  3. Удалите старые версии библиотек:
rm <confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3.6.jar
rm <confluence-install>/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar
  1. Разместите новые JAR-файлы в <confluence-install>/confluence/WEB-INF/lib/.
  2. Разместите файл CachedConfigurationProvider.class в директорию классов (создайте структуру папок, если она отсутствует):
mkdir -p <confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
cp CachedConfigurationProvider.class <confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork/
  1. Запустите службу Confluence.

Сетевой уровень (WAF): В качестве дополнительного эшелона защиты настройте правила на Web Application Firewall для блокировки запросов, содержащих ${ в URL или заголовках.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей