CVE-2024-21683 Confluence Post Auth RCE# cve-2024-21683-rce
**CVE-2024-21683** 是一个严重的远程代码执行(RCE)漏洞,影响 Atlassian 的 Confluence Server 和 Data Center。
该漏洞的 CVSS 得分为 8.3,属于高严重性类别。攻击者可以通过精心构造的恶意 JavaScript 文件,利用此漏洞执行远程代码,无需用户交互。
然而,攻击者需要先登录到 Confluence 系统,并具备足够的权限以添加新的宏语言。
## 漏洞详情
- **漏洞类型**:远程代码执行(RCE)
- **受影响版本**:Confluence 5.2 版本及其后所有版本
- **攻击条件**:
- 攻击者必须已经认证为 Confluence 用户,且具有管理员权限。
- 攻击者需要利用“配置代码宏”功能中的“添加新语言”选项,上传恶意的 JavaScript 文件。
### 漏洞原因
该漏洞源于“添加新语言”功能中的输入验证缺陷。由于缺乏有效的输入验证,经过身份验证的攻击者可以注入恶意 JavaScript 代码,这些代码将在服务器端执行,可能导致敏感信息泄露、数据修改或服务拒绝(DoS)等严重后果。
### 攻击方式
攻击者可以通过以下方式利用该漏洞:
- 访问特定的 API 接口。
- 上传包含恶意代码的文件,或通过构造恶意请求创建具有管理员权限的新用户。
由于已经有概念验证(PoC)代码被发布,漏洞的利用变得更加容易,因此未来 30 天内被攻击者利用的风险较高。
```
git clone https://github.com/XiaomingX/cve-2024-21683-rce
cd cve-2024-21683-rce
pip install requests bs4
python CVE-2024-21683.py -u http://192.168.198.1:8090 -au admin -ap admin -f exploit.js -n test -p http://127.0.0.1:8083
```
## 修复建议
Atlassian 强烈建议所有受影响的用户尽快升级到最新版本,以修复此漏洞。如果无法立即升级,至少应更新到官方指定的支持版本,以降低风险。由于 Confluence 通常面向外部访问,它成为了国家级攻击者和网络犯罪团伙的目标。
## 总结
CVE-2024-21683 是一个严重的安全漏洞,组织应立即采取行动进行修复,以保障其数据和系统的安全。
## 参考链接
- [HelpNetSecurity: CVE-2024-21683 PoC](https://www.helpnetsecurity.com/2024/06/03/cve-2024-21683-poc/)
- [NHS Cyber Alerts: CVE-2024-21683](https://digital.nhs.uk/cyber-alerts/2024/cc-4503)
- [Stormshield Security Alert](https://www.stormshield.com/news/security-alert-atlassian-cve-2024-21683-stormshields-product-response/)
- [GitHub PoC Code](https://github.com/r00t7oo2jm/-CVE-2024-21683-RCE-in-Confluence-Data-Center-and-Server)
- [CVE Details](https://www.cvedetails.com/cve/CVE-2024-21683/)
[4.0K] /data/pocs/8b1a3fdfac98b8fd3c116ae260f88b2301ebe643
├── [4.7K] CVE-2024-21683.py
├── [ 75] exploit.js
├── [ 11K] LICENSE
└── [2.6K] README.md
0 directories, 4 files