Back to blog
AtlassianConfluenceCVE-2022-26134RCEOGNLwiki

Atlassian Confluence : les CVE critiques et la sécurisation de votre wiki

Confluence concentre des vulnérabilités RCE critiques régulièrement exploitées. Analyse des CVE majeures d'Atlassian Confluence et mesures de protection pour votre instance.

April 23, 20263 min read

Atlassian Confluence est l'outil de collaboration et de documentation d'entreprise le plus utilisé au monde. Sa popularité en fait une cible de choix : des vulnérabilités critiques dans Confluence permettent régulièrement une exécution de code à distance, déployée massivement par des acteurs malveillants.

CVE-2022-26134 : OGNL Injection (CVSS 9.8)

La vulnérabilité la plus exploitée

En juin 2022, Atlassian divulguait CVE-2022-26134 — une injection OGNL (Object-Graph Navigation Language) permettant l'exécution de code à distance non authentifiée. C'est l'une des CVE Confluence les plus exploitées de l'histoire.

Comment ça fonctionne :

OGNL est le langage d'expression utilisé par Confluence pour les templates. La vulnérabilité permet d'injecter des expressions OGNL dans les URLs HTTP, qui sont évaluées par le serveur avec les privilèges de l'application.

GET /%24%7B%40java.lang.Runtime%40getRuntime%28%29.exec%28%22id%22%29%7D/ HTTP/1.1

Versions affectées : Confluence Server et Data Center 1.3.0 à 7.18.0

Exploitation massive en zero-day

Atlassian a reçu un rapport de la faille le 31 mai 2022 et a publié le patch le 3 juin 2022. Entre les deux, l'exploit était déjà actif sur internet. Des milliers de serveurs Confluence ont été compromis, principalement pour :

  • Déploiement de cryptomineurs (XMRig)
  • Installation de web shells pour accès persistant
  • Exfiltration de données (pages Confluence contiennent souvent des credentials, schémas d'architecture, etc.)

CVE-2023-22515 : Privilege Escalation (CVSS 10.0)

En octobre 2023, CVE-2023-22515 — une faille de création de compte administrateur non authentifiée dans Confluence Data Center et Server. Un attaquant pouvait accéder à l'endpoint /setup/setupadministrator.action pour créer un compte admin sur n'importe quelle instance exposée.

Exploitée comme zero-day par le groupe Storm-0062 (attribué à la Chine) avant la divulgation.

Versions affectées : Confluence Data Center et Server 8.0.0 à 8.5.1

CVE-2023-22518 : Destruction de données (CVSS 9.1)

Une autorisation incorrecte dans Confluence Data Center permettant à un attaquant non authentifié de réinitialiser la configuration de Confluence et de détruire toutes les données. Exploitée par des gangs de ransomware pour effacer les instances Confluence avant d'exiger une rançon.

CVE-2021-26084 : OGNL Injection (CVSS 9.8)

Prédécesseur de CVE-2022-26134, une autre injection OGNL dans les templates Velocity de Confluence. Exploitée massivement à l'été 2021 pour déployer des cryptomineurs.

Détecter une compromission

Rechercher des web shells

# Chercher des JSP/fichiers suspects récemment modifiés
find /opt/atlassian/confluence/confluence -name "*.jsp" -newer /tmp/ref_date
find /var/atlassian/application-data/confluence -name "*.class" -newer /tmp/ref_date

# Vérifier les logs d'accès pour des patterns suspects
grep -E "\.jsp\?|OGNL|%24%7B|%7B@" /opt/atlassian/confluence/logs/access_log*

Dans les logs Confluence

Cherchez des requêtes vers /setup/setupadministrator.action, /${...}/, ou des patterns d'URL contenant des expressions encodées URL.

Sécuriser Confluence

1. Mettre à jour en priorité

Confluence doit être mis à jour dès la publication d'un patch critique. Atlassian propose des LTS (Long Term Support) pour faciliter le suivi.

2. Ne pas exposer Confluence sur internet si possible

Si Confluence est uniquement utilisé en interne, bloquez l'accès depuis internet. Utilisez un VPN pour l'accès distant.

3. Si exposition nécessaire : WAF et filtrage

Déployez un WAF avec des règles bloquant :

  • Les expressions OGNL dans les URLs (%24%7B, ${, @java)
  • L'accès à /setup/ depuis internet
  • Les payloads de type RCE communs

4. Sauvegardes régulières et testées

Les CVE comme CVE-2023-22518 peuvent détruire vos données. Des sauvegardes quotidiennes hors-band sont indispensables.

5. Principe du moindre privilège

  • Créez des espaces Confluence avec des permissions restrictives
  • Évitez les espaces publics contenant des informations sensibles
  • Utilisez des comptes de service dédiés avec permissions minimales

6. Activer les notifications de sécurité Atlassian

Inscrivez-vous aux alertes sécurité Atlassian : security.atlassian.com

Jira : les mêmes risques

Le pendant de Confluence, Jira, a lui aussi des CVE critiques régulières :

  • CVE-2022-0540 (CVSS 9.9) : Auth bypass dans Jira et Jira Service Management
  • CVE-2021-43947 (CVSS 9.9) : RCE dans Jira Data Center

Si vous utilisez la suite Atlassian, appliquez la même rigueur à Jira.

Surveillez toutes les CVE Atlassian sur cveo.tech — cherchez confluence ou jira pour un inventaire complet.

Monitor CVEs with AI

AI-powered search, CVSS scoring, asset monitoring and automatic alerts.

Try AI search →Create free account

Related articles

Patch Management Guide: How to Handle CVEs Quickly and Effectively

Learn how to build a robust CVE patch management process: SLAs by severity, key steps, tools, and common mistakes to avoid to protect your infrastructure.

How to Monitor CVE Vulnerabilities Across Your IT Assets

A complete guide to tracking and managing CVEs affecting your IT infrastructure: methods, tools, and best practices for IT teams and security managers.

How to Conduct a CVE Security Audit of Your IT Infrastructure

Complete guide to conducting a CVE security audit: asset inventory, vulnerability scanning, CVSS scoring, remediation planning, and CISO best practices.