Vulnerabilidad en Confluence Server y Data Center (CVE-2022-26134)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
03/06/2022
Última modificación:
24/10/2025
Descripción
En las versiones afectadas de Confluence Server y Data Center, se presenta una vulnerabilidad de inyección OGNL que permitiría a un atacante no autenticado ejecutar código arbitrario en una instancia de Confluence Server o Data Center. Las versiones afectadas son 1.3.0 anteriores a 7.4.17, 7.13.0 anteriores a 7.13.7, 7.14.0 anteriores a 7.14.3, 7.15.0 anteriores a 7.15.2, 7.16.0 anteriores a 7.16.4, 7.17.0 anteriores a 7.17.4 y 7.18.0 anteriores a 7.18.1
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:* | 1.3 (incluyendo) | 7.4.17 (excluyendo) |
| cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:* | 7.13.0 (incluyendo) | 7.13.7 (excluyendo) |
| cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:* | 7.14.0 (incluyendo) | 7.14.3 (excluyendo) |
| cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:* | 7.15.0 (incluyendo) | 7.15.2 (excluyendo) |
| cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:* | 7.16.0 (incluyendo) | 7.16.4 (excluyendo) |
| cpe:2.3:a:atlassian:confluence_data_center:*:*:*:*:*:*:*:* | 7.17.0 (incluyendo) | 7.17.4 (excluyendo) |
| cpe:2.3:a:atlassian:confluence_data_center:7.18.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:atlassian:confluence_server:*:*:*:*:*:*:*:* | 1.3 (incluyendo) | 7.4.17 (excluyendo) |
| cpe:2.3:a:atlassian:confluence_server:*:*:*:*:*:*:*:* | 7.13.0 (incluyendo) | 7.13.7 (excluyendo) |
| cpe:2.3:a:atlassian:confluence_server:*:*:*:*:*:*:*:* | 7.14.0 (incluyendo) | 7.14.3 (excluyendo) |
| cpe:2.3:a:atlassian:confluence_server:*:*:*:*:*:*:*:* | 7.15.0 (incluyendo) | 7.15.2 (excluyendo) |
| cpe:2.3:a:atlassian:confluence_server:*:*:*:*:*:*:*:* | 7.16.0 (incluyendo) | 7.16.4 (excluyendo) |
| cpe:2.3:a:atlassian:confluence_server:*:*:*:*:*:*:*:* | 7.17.0 (incluyendo) | 7.17.4 (excluyendo) |
| cpe:2.3:a:atlassian:confluence_server:7.18.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/167430/Confluence-OGNL-Injection-Remote-Code-Execution.html
- http://packetstormsecurity.com/files/167431/Through-The-Wire-CVE-2022-26134-Confluence-Proof-Of-Concept.html
- http://packetstormsecurity.com/files/167432/Confluence-OGNL-Injection-Proof-Of-Concept.html
- http://packetstormsecurity.com/files/167449/Atlassian-Confluence-Namespace-OGNL-Injection.html
- https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
- https://jira.atlassian.com/browse/CONFSERVER-79016
- http://packetstormsecurity.com/files/167430/Confluence-OGNL-Injection-Remote-Code-Execution.html
- http://packetstormsecurity.com/files/167431/Through-The-Wire-CVE-2022-26134-Confluence-Proof-Of-Concept.html
- http://packetstormsecurity.com/files/167432/Confluence-OGNL-Injection-Proof-Of-Concept.html
- http://packetstormsecurity.com/files/167449/Atlassian-Confluence-Namespace-OGNL-Injection.html
- https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
- https://jira.atlassian.com/browse/CONFSERVER-79016
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2022-26134