Jira 8.3.4 信息披露漏洞(CVE-2019-8449)
漏洞描述:
Atlassian Jira 8.4.0之前版本/rest/api/latest/groupuserpicker接口允许未授权查询员工信息,攻击者可以通过爆破用户名名单等方法获取用户信息
影响版本:
7.12< 受影响版本<8.4.0
漏洞复现:
下载并安装jira 8.4.0之前的版本(PS:jira安装需要java环境)
直接构造payload /rest/api/latest/groupuserpicker?query=用户名,比如说admin,然后执行,如果该用户存在,则会返回用户信息,如下图所示
尝试输入一个不存在的用户,可以看到如下图所示信息
漏洞复现成功
修复建议:
升级更新jira版本以修复漏洞