CVE-2023-22527
| ID: | 16957 |
|---|---|
| 标题: | CVE-2023-22527 |
| 描述: | 在Confluence 8.0到8.5.3版本之间,存在一处由于任意velocity模板被调用导致的OGNL表达式注入漏洞,未授权攻击者利用该漏洞可以直接攻击Confluence服务器并执行任意命令 |
| 类型: | RCE漏洞 |
| 网站: | cyberstrikelab |
| 题目链接: | https://www.cyberstrikelab.com/ |
| 赛事: | cyberstrikelab |
| 年度: | 2023 |
| Flag值: | 1、 Confluence 8.0到8.5.3版本存在OGNL表达式注入漏洞,允许未授权攻击者通过向 /template/aui/text-inline.vm 发送恶意POST请求执行任意命令 5。2、 /template/aui/text-inline.vm 3 5。3、 在请求体中注入OGNL表达式,通过 freemarker.template.utility.Execute 执行系统命令 3。4、 攻击者无需身份验证即可远程执行代码 3 4。5、 升级到Confluence Data Center and Server 8.5.4或更高版本 4 5。 |
| writeup: | https://blog.csdn.net/qq_53003652/article/details/135768077 |