来源

关联漏洞

描述

CVE-2024-21683 Confluence Post Auth RCE

介绍

# cve-2024-21683-rce

**CVE-2024-21683** 是一个严重的远程代码执行（RCE）漏洞，影响 Atlassian 的 Confluence Server 和 Data Center。

该漏洞的 CVSS 得分为 8.3，属于高严重性类别。攻击者可以通过精心构造的恶意 JavaScript 文件，利用此漏洞执行远程代码，无需用户交互。

然而，攻击者需要先登录到 Confluence 系统，并具备足够的权限以添加新的宏语言。

## 漏洞详情

- **漏洞类型**：远程代码执行（RCE）
- **受影响版本**：Confluence 5.2 版本及其后所有版本
- **攻击条件**：
  - 攻击者必须已经认证为 Confluence 用户，且具有管理员权限。
  - 攻击者需要利用“配置代码宏”功能中的“添加新语言”选项，上传恶意的 JavaScript 文件。

### 漏洞原因

该漏洞源于“添加新语言”功能中的输入验证缺陷。由于缺乏有效的输入验证，经过身份验证的攻击者可以注入恶意 JavaScript 代码，这些代码将在服务器端执行，可能导致敏感信息泄露、数据修改或服务拒绝（DoS）等严重后果。

### 攻击方式

攻击者可以通过以下方式利用该漏洞：

- 访问特定的 API 接口。
- 上传包含恶意代码的文件，或通过构造恶意请求创建具有管理员权限的新用户。

由于已经有概念验证（PoC）代码被发布，漏洞的利用变得更加容易，因此未来 30 天内被攻击者利用的风险较高。

```
git clone https://github.com/XiaomingX/cve-2024-21683-rce
cd cve-2024-21683-rce
pip install requests bs4
python CVE-2024-21683.py -u http://192.168.198.1:8090 -au admin -ap admin -f exploit.js -n test -p http://127.0.0.1:8083
```


## 修复建议

Atlassian 强烈建议所有受影响的用户尽快升级到最新版本，以修复此漏洞。如果无法立即升级，至少应更新到官方指定的支持版本，以降低风险。由于 Confluence 通常面向外部访问，它成为了国家级攻击者和网络犯罪团伙的目标。

## 总结

CVE-2024-21683 是一个严重的安全漏洞，组织应立即采取行动进行修复，以保障其数据和系统的安全。

## 参考链接

- [HelpNetSecurity: CVE-2024-21683 PoC](https://www.helpnetsecurity.com/2024/06/03/cve-2024-21683-poc/)
- [NHS Cyber Alerts: CVE-2024-21683](https://digital.nhs.uk/cyber-alerts/2024/cc-4503)
- [Stormshield Security Alert](https://www.stormshield.com/news/security-alert-atlassian-cve-2024-21683-stormshields-product-response/)
- [GitHub PoC Code](https://github.com/r00t7oo2jm/-CVE-2024-21683-RCE-in-Confluence-Data-Center-and-Server)
- [CVE Details](https://www.cvedetails.com/cve/CVE-2024-21683/)

文件快照

 [4.0K]  /data/pocs/8b1a3fdfac98b8fd3c116ae260f88b2301ebe643
├── [4.7K]  CVE-2024-21683.py
├── [  75]  exploit.js
├── [ 11K]  LICENSE
└── [2.6K]  README.md

0 directories, 4 files

备注