首页 安全文摘 漏洞分析 正文

[CVE-2021-26085] Confluence /s/路径的信息泄露(受限)

漏洞描述未经认证的攻击者可访问Confluence的WEB-INF和META-INF目录下的任意文件(包括可能的凭据信息)。这个漏洞我理解是CVE-2020-29448补丁的绕过;跟CVE-2019-3394的危害程度一样,最大可能的危害是读取可能存在的atlassian-user.xml文件(泄露LDAP凭据但这种配置方式已被弃用),但是不需要认证。漏洞详

漏洞描述

未经认证的攻击者可访问Confluence的WEB-INF和META-INF目录下的任意文件(包括可能的凭据信息)。这个漏洞我理解是CVE-2020-29448补丁的绕过;跟CVE-2019-3394的危害程度一样,最大可能的危害是读取可能存在的atlassian-user.xml文件(泄露LDAP凭据但这种配置方式已被弃用),但是不需要认证。

漏洞详情

/s/路径是Atlassian产品通用的访问静态资源的方法。

[CVE 2021 26085] Confluence /s/路径的信息泄露(受限) WEB安全 漏洞分析 CVE 2021 26085 漏洞分析  第1张

Confluence有一个正则

private static final Pattern CACHE_PATTERN = Pattern.compile("^/s/(.*)/_/((?i)(?!WEB-INF)(?!META-INF).*)");

用于避免WEB-INF和META-INF目录下文件被读取。

CVE-2020-29448的作者发现可以通过url编码绕过这个正则,实现WEB-INF和META-INF目录下的文件读取。

Atlassian修复它的方式是在进行正则判断前,对Payload先url解码。

[CVE 2021 26085] Confluence /s/路径的信息泄露(受限) WEB安全 漏洞分析 CVE 2021 26085 漏洞分析  第2张

但是我发现可以通过两次url编码来绕过,于是提交给了Atlassian官方,不过看这个CVE-2021-26085的官方页面,好像CVE-2020-29448的作者也发现了?

这次Atlassian的修复方式是用一个for循环判断只要uri还可以被解码就继续解码。

   private String decodeURL(String url) {
        String decodedUri;
        for(decodedUri = HtmlUtil.urlDecode(url); HtmlUtil.shouldUrlDecode(decodedUri); decodedUri = HtmlUtil.urlDecode(decodedUri)) {
        }

        return decodedUri;
    }

影响版本

[ ,7.4.10) 

[7.5.0, 7.12.3)

漏洞演示

[CVE 2021 26085] Confluence /s/路径的信息泄露(受限) WEB安全 漏洞分析 CVE 2021 26085 漏洞分析  第3张

[CVE 2021 26085] Confluence /s/路径的信息泄露(受限) WEB安全 漏洞分析 CVE 2021 26085 漏洞分析  第4张

参考

  • https://jira.atlassian.com/browse/CONFSERVER-67893

  • https://nvd.nist.gov/vuln/detail/CVE-2021-26085

  • https://nvd.nist.gov/vuln/detail/CVE-2020-29448

  • https://nvd.nist.gov/vuln/detail/CVE-2019-3394




相似的Jira的信息泄露参考 陈师傅的知识星球:

https://t.zsxq.com/bAaiUfa

文由shadowsock7

海报

本文转载自互联网,如有侵权,联系删除

转载请注明本文地址:https://heibai.org.cn/2052.html

相关推荐

从偶遇Flarum开始的RCE之旅

从偶遇Flarum开始的RCE之旅

漏洞描述未经认证的攻击者可访问Confluence的WEB-INF和META-INF目录下的任意文件(包括可能的凭据信息)。这个漏洞我理...

WEB安全 3个月前 (08-21) 0 10035

Thinkphp漏洞复现总结

Thinkphp漏洞复现总结

漏洞描述未经认证的攻击者可访问Confluence的WEB-INF和META-INF目录下的任意文件(包括可能的凭据信息)。这个漏洞我理...

漏洞分析 1年前 (2021-08-28) 1 20246

发布评论

ainiaobaibaibaibaobaobeishangbishibizuichiguachijingchongjingdahaqiandaliandangaodw_dogedw_erhadw_miaodw_tuzidw_xiongmaodw_zhutouganbeigeiliguiguolaiguzhanghahahahashoushihaixiuhanheixianhenghorse2huaixiaohuatonghuaxinhufenjiayoujiyankeaikeliankouzhaokukuloukunkuxiaolandelinileimuliwulxhainiolxhlikelxhqiuguanzhulxhtouxiaolxhwahahalxhzanningwennonuokpinganqianqiaoqinqinquantouruoshayanshengbingshiwangshuaishuijiaosikaostar0star2star3taikaixintanshoutianpingtouxiaotuwabiweifengweiquweiwuweixiaowenhaowoshouwuxiangjixianhuaxiaoerbuyuxiaokuxiaoxinxinxinxinsuixixixuyeyinxianyinyueyouhenghengyuebingyueliangyunzanzhajizhongguozanzhoumazhuakuangzuohenghengzuoyi
感谢您的支持