一、基本情况

Confluence是一款专业的企业知识管理与协同软件，常用于企业wiki的构建，支持团队成员间开展信息共享、文档协作、集体讨论和信息推送等工作，具有较为便捷的编辑和站点管理特性。该软件由Atlassian公司负责开发和维护。

二、漏洞等级

严重（CVSS评分：9.8分）

三、漏洞描述

由于部分URI被作为OGNL（java中常用的表达式语言）解析，造成表达式注入。未经身份验证的攻击者可通过利用该漏洞，发送恶意的Web请求注入命令，在目标服务器执行任意代码，从而控制目标服务器。漏洞已经复现，并且存在多种在野利用情况。

四、影响范围

漏洞影响的产品版本包括：

所有受支持的 Confluence Server 和 Confluence Data Center 版本、Confluence Server 和 Confluence Data Center 1.3.0 之后的版本。

五、修复措施

目前，Atlassian公司已发布漏洞缓解建议，暂未发布修复补丁。请用户按照厂商公告，及时采取漏洞临时缓解措施，并密切关注后续的补丁更新情况。

Atlassian公司的漏洞缓解建议：

https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

六、参考链接

国家信息安全漏洞共享平台 (cnvd.org.cn)