2022年6月2日，Atlassian官方發布公告，披露了CVE-2022-26134 Atlassian Confluence 遠程代碼執行漏洞。

漏洞描述

Atlassian Confluence是Atlassian公司出品的專業的企業知識管理與協同軟件，可用于構建企業文庫等。2022年6月2日Atlassian官方發布公告，披露了CVE-2022-26134 Atlassian Confluence 遠程代碼執行漏洞。攻擊者可構造惡意請求，在無需登錄的情況下可執行任意代碼，控制服務器。阿里云應急響應中心提醒 Atlassian Confluence 用戶盡快采取安全措施阻止漏洞攻擊。

漏洞細節：公開

漏洞POC：公開

漏洞EXP：公開

在野利用：存在

漏洞評級

CVE-2022-26134 Atlassian Confluence 遠程代碼執行漏洞 高危

安全版本

Atlassian Confluence Server 7.4.17

Atlassian Confluence Server 7.13.7

Atlassian Confluence Server 7.14.3

Atlassian Confluence Server 7.15.2

Atlassian Confluence Server 7.16.4

Atlassian Confluence Server 7.17.4

Atlassian Confluence Server 7.18.1

安全建議

1、根據影響及其安全版本排查并升級到安全版本。

2、若暫無法升級，可按照相關鏈接中針對各對應版本替換相關xwork jar包，以緩解該漏洞。

相關鏈接

1、https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

2、https://avd.aliyun.com/detail?id=AVD-2022-26134