Muitas redes corporativas têm vindo a ser invadidas através de uma falha no Confluence, dada pelo CVE-2022-26134.

Trata-se de uma falha no OGNL (essencialmente uma linguagem de navegação open-source para objetos em Java), que permite a um atacante executar código remotamente, sem autenticação, e dessa forma criar contas novas de administrador.

Recentemente tem-se observado o deploy de diversas strips de ransomware nos servidores confluence de diversas empresas, pelo que é extremamente urgente, agora que já existe uma atualização para esses mesmos servidores, aplicar essa mesma atualização, ou no mínimo aplicar o workaround também já disponibilizado para aqueles casos que não é conveniente ou não é possível para já atualizar o servidor

Versões afetadas

Confluence Server e Confluence Data Center 1.3.0

Solução (Versões corrigidas)

7.4.17

7.13.7

7.14.3

7.15.2

7.16.4

7.17.4

7.18.1

Workaround

- Desligar o Confluence; fazer download do jar (https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar); apagar esta versão (<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar); copiar a versão de que se fez download xwork-1.0.3-atlassian-10.jar para <confluence-install>/confluence/WEB-INF/lib/; veriicar as permissões do novo ficheiro e iniciar o confluence

Mais informações no guia oficial de atualização

Guia oficial de atualização do Confluence: https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html#:~:text=download%20centre.-,Mitigation,-If%20you%20are