本文针对 Confluence 远程代码执行漏洞（CVE-2021-26084） 展开技术复现与原理剖析。该漏洞源于 Confluence 在处理 Web 请求参数时，由于对用户输入校验不严，导致恶意构造的参数被传入 OGNL（Object-Graph Navigation Language） 表达式解析引擎中执行。 文章详细拆解了攻击者如何利用特定的参数注入点绕过安全限制，通过精心构造的 OGNL 表达式 劫持服务器逻辑，最终在无需身份验证的情况下实现远程命令执行（RCE）。