Jira 8.3.4 信息披露漏洞(CVE-2019-8449)

最新推荐文章于 2024-08-07 23:11:43 发布
最新推荐文章于 2024-08-07 23:11:43 发布
阅读量1k 收藏 1
点赞数
分类专栏: cms Security 文章标签: 安全 cms
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_39086634/article/details/109805957
版权

Jira 8.3.4 信息披露漏洞(CVE-2019-8449)

漏洞描述:

​ Atlassian Jira 8.4.0之前版本/rest/api/latest/groupuserpicker接口允许未授权查询员工信息,攻击者可以通过爆破用户名名单等方法获取用户信息

影响版本:

7.12< 受影响版本<8.4.0

漏洞复现:

下载并安装jira 8.4.0之前的版本(PS:jira安装需要java环境)

直接构造payload /rest/api/latest/groupuserpicker?query=用户名,比如说admin,然后执行,如果该用户存在,则会返回用户信息,如下图所示

尝试输入一个不存在的用户,可以看到如下图所示信息

image-20201119085624183

漏洞复现成功

修复建议:

升级更新jira版本以修复漏洞

Darklord.W
关注
专栏目录
CVE-2019-8449 Jira 枚举用户漏洞的利用
BaCde's Blog
03-12 1374
一个很攻击门槛很低的漏洞。可结合其它漏洞配合来进行攻击。 首先来简单说一下这个漏洞,该漏洞就是在Jira 8.4.0以前的版本,攻击者可以在不经过授权的情况下访问/rest/api/latest/groupuserpicker这个路径来枚举用户。漏洞危害评级中危。 2020年2月3日在exploit-db上公布了该漏洞利用脚本。地址: Jira 8.3.4 - Information Disclo...
Atlassian Jira 模板注入漏洞CVE-2019-11581)复现
玄道的网安博客
12-13 1567
漏洞描述 Atlassian Jira是企业广泛使用的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。 多个版本前存在利用模板注入执行任意命令: 影响范围 4.4.x 5.x.x 6.x.x 7.0.x 7.1.x 7.2.x 7.3.x 7.4.x 7.5.x 7.6.x before 7.6.14 (the fixed version for 7.6.x) 7.7.x 7.8.x 7.9.x 7.10.x 7.11...
CVE-2019-8449:针对Jira v2.1的CVE-2019-8449漏洞-v8.3.4
03-08
CVE-2019-8449 低于v8.3.4的Jira版本的CVE-2019-8449 Exploit CVSS得分: 5.0 漏洞类型:信息泄露身份验证:不需要受影响的版本: 2.1-8.3.4 发布日期: 2019-09-11 漏洞数据库: : 描述 版本8.4.0之前的Jira中的/ rest / api / latest / groupuserpicker资源允许远程攻击者通过信息泄露漏洞枚举用户名。 用法 python CVE-2019-8449.py 链接
信息披露漏洞
Zeker62的博客
08-24 337
什么是信息披露信息披露,也称为信息泄露,是指网站无意中向用户泄露敏感信息。根据上下文,网站可能会向潜在攻击者泄露各种信息,包括: 有关其他用户的数据,例如用户名或财务信息 敏感的商业或商业数据 关于网站及其基础设施的技术细节 泄露敏感用户或业务数据的危险是相当明显的,但泄露技术信息有时也同样严重。尽管其中一些信息的用途有限,但它可能成为暴露额外攻击面的起点,其中可能包含其他有趣的漏洞。在...
认识漏洞-Jira身份验证绕过漏洞、GIT泄露漏洞
Boom!脑洞大爆炸的博客
07-27 275
认识漏洞-Jira身份验证绕过漏洞、GIT泄露漏洞
PortSwigger Academy | Information disclosure vulnerabilities : 信息泄漏漏洞
水榭山寺花烂漫,凤凰集外雁归来。敢与云峰争秀色,妙雨莲花九重开。
01-27 1784
11111111111111
测试两个主机之间的连通性_利用Jira的邮件服务器连通测试功能发现其CSRF漏洞...
weixin_39933508的博客
11-21 183
去年10月,Tenable研究员发现Jira v8.4.1版本存在一个跨站请求伪造漏洞(CSRF)-CVE-2019-20099,籍此可以让目标Jira服务去连接任意内部主机,Atlassian Jira受该漏洞影响的版本范围为8.7.0到8.2.4之间的Jira Server 和 Data Center。以下即是具体发现CVE-2019-20099漏洞的过程。Jira部署的防CSRF策...
Atlassian Confluence 路径穿越与命令执行漏洞 CVE-2019-3396
最新发布
山兔的博客
08-07 482
2.影响版本:6.6.12之前所有6.6.x版本,6.12.3之前所有6.12.x版本,6.13.13之前所有6.13.x版本,6.14.2之前所有6.14.x版本。访问服务器ip地址,如:192.168.109.130:8090 进行安装,安装步骤如下:选择Trial Installation——》Next。直接使用邮箱账号,点击New Trial License——》select product——》Confluence。然后会让你填写用户名,如果提示填写路径,路径填写。我这边建立失败了,就不复现了。
CVE-2019-11581漏洞复现
yeshankuangrenaaaaa的博客
07-23 1874
CVE-2019-11581漏洞复现 Author:IronDate:2020-07-20 文章目录CVE-2019-11581漏洞复现@[toc]参考链接漏洞描述产品描述漏洞描述漏洞影响版本靶机环境搭建环境版本安装Jira配置Jira漏洞复现发起攻击攻击效果前后对比 参考链接 下载地址 安装教程 漏洞信息 漏洞描述 产品描述 Atlassian Jira是澳大利亚Atlassian公司的一套缺陷跟踪管理系统。该系统主要用于对工作中各类问题、缺陷进行跟踪管理。 漏洞描述 攻击者可以利用此漏洞对运行受影响
Atlassian Jira 模板注入漏洞CVE-2019-11581)
黑白的博客
12-07 861
声明 好好学习,天天向上 漏洞描述 Atlassian Jira是企业广泛使用的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。 多个版本前存在利用模板注入执行任意命令: 影响范围 4.4.x 5.x.x 6.x.x 7.0.x 7.1.x 7.2.x 7.3.x 7.4.x 7.5.x 7.6.x before 7.6.14 (the fixed version for 7.6.x) 7.7.x 7.8.x 7.9.x 7.10.x 7.11
最近的Jira漏洞
公众号shadow sock7
07-16 895
https://jira.atlassian.com/browse/JRASERVER-71113 https://jira.atlassian.com/browse/JRASERVER-71114 https://jira.atlassian.com/browse/JRASERVER-70923 https://jira.atlassian.com/browse/JRASERVER-71107 https://confluence.atlassian.com/jirasoftwareserver/atta
Jira未授权SSRF漏洞(CVE-2019-8451)
Li-D的博客
12-31 1543
漏洞描述 Jira的/plugins/servlet/gadgets/makeRequest资源存在SSRF漏洞,原因在于JiraWhitelist这个类的逻辑缺陷,成功利用此漏洞的远程攻击者可以以Jira服务端的身份访问内网资源。经分析,此漏洞无需任何凭据即可触发。 漏洞危害 远程攻击者可以利用此漏洞Jira服务端的身份访问内网资源。 漏洞影响版本 Jira < 8.4.0 漏洞分析 两个关键信息点: • 漏洞点在/plugins/servlet/gadgets/makeRequest • 原因在
Jira Service Management Server和Data Center身份认证绕过漏洞CVE-2023-22501
鸭梨山大。
02-08 556
Jira Service Management(JSMs)Server和Jira Service Management(JSMs)Data Center基于Jira平台,是Atlassian提供的IT服务管理解决方案的两种版本。当Jira Service Management实例启用对用户目录和传出电子邮件的写访问权限时,攻击者可获取未登录过的注册账户令牌,从而导致攻击者在某些情况下冒充另一个用户,并获得对Jira Service Management实例的访问权限。对此,目前厂商已发布安全版本。
Atlassian Jira 信息泄露漏洞(CVE-2019-3403) 排查思路
HeLLo_a119的博客
04-28 744
企业广泛使用的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。如果是正常的访问也会返回敏感数据,返回包中的敏感信息是正常的响应内容,所以他不算是一次攻击成功,算是误报。告警的检测规则是匹配响应中有没有返回数据包里面带有敏感信息的部分(检测URL和响应体)。如果是内部人员正常的操作,可以确定这是一次误报,但是不能确定他存不存在这个漏洞。2.通过受害者IP地址找到对应的人员并确认他们是否进行了可能的不当操作。信息泄露漏洞的告警。
Apache Subversion Use-After-Free漏洞CVE-2022-24070)
murphysec的博客
04-19 600
CVE-2022-24070漏洞会造成Apache Subversion下处理请求的 HTTPD 工作进程崩溃,进而导致拒绝服务,目前该漏洞已修复,建议受影响用户更新到安全版本,或下载官方补丁:https://subversion.apache.org/security/CVE-2022-24070-advisory.txt 编号       CVE-2022-24070                      标题 Apache Subversion Use-After-Free漏洞
漏洞笔记--Jira 相关漏洞复现及利用
NoooEmotion的博客
01-28 4602
Atlassian Jira是企业广泛使用的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。
jira漏洞复现
Shanfenglan's blog
12-03 4183
文章目录1. Atlassian Jira 模板注入漏洞CVE-2019-11581)1.1 利用参考文章 1. Atlassian Jira 模板注入漏洞CVE-2019-11581) 影响版本 4.4.x 5.x.x 6.x.x 7.0.x 7.1.x 7.2.x 7.3.x 7.4.x 7.5.x 7.6.x before 7.6.14 (the fixed version for 7.6.x) 7.7.x 7.8.x 7.9.x 7.10.x 7.11.x 7.12.x 7.13.x befor
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值