# CVE-2021-26084 > [!critical] RCE Crítico no Confluence - OGNL Injection sem Autenticação > CVE-2021-26084 é uma vulnerabilidade de injeção OGNL no Confluence Server e Data Center que permite execução remota de código sem autenticação. Exploração massiva foi observada dias após o disclosure público, com PoC amplamente disponível. ## Visão Geral CVE-2021-26084 afeta o **Atlassian Confluence**, plataforma de colaboração amplamente utilizada por equipes de desenvolvimento e operações. A vulnerabilidade permite que um atacante remoto não autenticado execute código arbitrário no servidor através de injeção de expressões OGNL (Object-Graph Navigation Language) no endpoint de criação de páginas. A Atlassian divulgou a falha em agosto de 2021, e dentro de dias surgiram exploits públicos e ataques em massa. A CISA adicionou a vulnerabilidade ao KEV em novembro de 2021, confirmando exploração ativa. O grupo iraniano **Magic Hound** (APT35) foi identificado explorando a falha em campanhas de espionagem. A criticidade é máxima: acesso não autenticado com execução de código diretamente num servidor de colaboração que tipicamente contém documentação interna sensível, credenciais e informações de infraestrutura. > [!latam] Relevância para Brasil e LATAM > O Confluence é amplamente adotado por empresas de tecnologia e fintechs brasileiras para documentação interna. A exploração desta CVE expõe não apenas código de sistemas críticos mas também arquiteturas de infraestrutura e segredos operacionais. Incidentes relacionados foram reportados em empresas brasileiras do setor de tecnologia e serviços financeiros. ## Detalhes Técnicos A injeção OGNL ocorre no template Velocity de páginas do Confluence. O parâmetro `queryString` em endpoints específicos não sanitiza adequadamente expressões OGNL antes de avaliá-las, permitindo execução de código Java arbitrário no contexto do servidor de aplicação. | Campo | Detalhe | |-------|---------| | Tipo | OGNL Injection / Remote Code Execution | | Endpoint | `/pages/createpage-entervariables.action` | | Autenticação | Não necessária (unauthenticated) | | CVSS | 9.8 (Critical) | | CISA KEV | Sim (2021-11-03) | ## TTPs Relacionadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1059-007-javascript|T1059 - Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1505-003-web-shell|T1505.003 - Server Software Component: Web Shell]] ## Mitigação - Atualizar Confluence para versão 7.13.0 (LTS) ou superior imediatamente - Aplicar patch de emergência da Atlassian disponível para versões anteriores - Se não for possível atualizar, restringir acesso ao Confluence via firewall/VPN - Monitorar logs de acesso para requisições ao endpoint `/pages/createpage-entervariables.action` - Implementar [[m1016-vulnerability-scanning|M1016 - Vulnerability Scanning]] e [[m1051-update-software|M1051 - Update Software]] ## Referências - [Atlassian Security Advisory 2021-08-25](https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html) - [CISA KEV - CVE-2021-26084](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [NVD - CVE-2021-26084](https://nvd.nist.gov/vuln/detail/CVE-2021-26084)