Jira的误配置导致的敏感信息泄露

最新推荐文章于 2024-04-28 10:13:49 发布
最新推荐文章于 2024-04-28 10:13:49 发布
阅读量1.3k 收藏
点赞数 2
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/98481700
版权

最近有报道说是因为jira的误配置问题,导致了一些数据泄露,其中包含一些大公司,比如NASA, Google, Yahoo,Lenovo, 1password, Informatica等。更有甚者,说是泄露了NASA的好几百人的邮箱。
https://gbhackers.com/jira-servers-data-leak/
https://medium.com/@logicbomb_1/one-misconfig-jira-to-leak-them-all-including-nasa-and-hundreds-of-fortune-500-companies-a70957ef03c7
https://www.reddit.com/r/netsec/comments/clcqu2/misconfigured_jira_instances_exposed_data_of/

原因在于:

The misconfiguration issue is because of the wrong permission assigned while creating the filters and dashboards, while creating new filter or dashboards by default the visibility set to all users and everyone, instead of sharing everyone within the organization.
If the permission set to everyone, then anyone can access the sensitive data by just having the URL and also being indexed by search engines. The leak exposes following sensitive details.

误配置的问题的原因是,在创建filters和dashboards时分配了错误的权限。然后,再创建新的filters和dashboards时,默认可见范围是所有用户和每个人,而不是把organization分享给每个人。
如果权限设置为每个人,那么任何知道这个URL的人就可以访问到敏感信息。另外,这个…

我就不翻译了,脉脉上有一篇翻译的挺好:

在 JIRA 中创建过滤器或仪表板时,它提供了一些可见性选项。问题是由于分配给它们的权限错误。当在JIRA中创建项目/问题的过滤器和仪表板时,默认情况下,可见性分别设置为“所有用户”和“所有人”,而不是与组织中的每个人共享,所以这些信息被完全公开了。JIRA 中还有一个用户选择器功能,它提供了每个用户的用户名和电子邮件地址的完整列表。此信息泄露是 JIRA 全局权限设置中授权配置错误的结果。

https://maimai.cn/article/detail?fid=1306168901&efid=hfzl9tO_Db-weJoPB8aEbA

可以用这个Google Dork去找存在这种问题的公网jira页面:

inurl:/UserPickerBrowser.jspa -intitle:Login -intitle:Log

在这里插入图片描述

找几个:
在这里插入图片描述
在这里插入图片描述
比如这个:
https://issues.library.jhu.edu/secure/popups/UserPickerBrowser.jspa

后来又搜了一下,NASA的jira应该是这几个:
https://pds-jira.jpl.nasa.gov/secure/Dashboard.jspa
https://ehm.jpl.nasa.gov/jira/secure/Dashboard.jspa
在这里插入图片描述
本田/Honda的Jira:
https://projects.hondaresearch.com/jira/secure/AboutPage.jspa/secure/AboutPage.jspa
Oracle的Jira?
https://bugs.openjdk.java.net/secure/Dashboard.jspa

丰田:
https://jira.sdlc.toyota.com/secure/Dashboard.jspa

联想的:
http://tbjira.lenovo.com:8081/issue/secure/Dashboard.jspa
https://jira.xpaas.lenovo.com/secure/Dashboard.jspa

这个把jira的客户说了很多
http://www.fangwai.net/company/customers/
在这里插入图片描述

如何修复

其实就是创建过滤器的时候,指定要可见范围: Any logged-in user
在这里插入图片描述

caiqiiqi
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Jira 未经身份验证用户名枚举漏洞(CVE-2020-14181)复现
锋刃科技的博客
03-19 4153
简介 Atlassian Jira是企业广泛使用的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。 影响版本 Jira < 7.13.6 Jira 8.0.0 - 8.5.7 Jira 8.6.0 - 8.12.0 环境搭建 这里使用docker进行搭建 https://github.com/vulhub/vulhub/tree/master/jira/CVE-2019-11581 进入...
JIRA配置.xmind
02-22
JIRA
Atlassian Jira 信息泄露漏洞(CVE-2019-3403) 排查思路
HeLLo_a119的博客
04-28 556
企业广泛使用的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。如果是正常的访问也会返回敏感数据,返回包中的敏感信息是正常的响应内容,所以他不算是一次攻击成功,算是报。告警的检测规则是匹配响应中有没有返回数据包里面带有敏感信息的部分(检测URL和响应体)。如果是内部人员正常的操作,可以确定这是一次报,但是不能确定他存不存在这个漏洞。2.通过受害者IP地址找到对应的人员并确认他们是否进行了可能的不当操作。信息泄露漏洞的告警。
CVE-2019-3403 POC
m0_57967573的博客
04-24 430
200:exit(0)else:')= '':else:# Output= '':
Atlassian JIRA服务器模板注入漏洞(CVE-2019-11581)
qq_44504968的博客
04-06 1007
Atlassian JIRA服务器模板注入漏洞(CVE-2019-11581)一、漏洞原理二、漏洞风险等级三、漏洞影响范围四、实验环境4.1靶机:4.2攻击机:五、漏洞复现六、漏洞修复方案 一、漏洞原理 Atlassian Jira是企业广泛使用的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。 因atlassian-jira/WEB-INF/classes/com/atlassian/jira/web/action/user/Contact
Atlassian Jira 模板注入漏洞(CVE-2019-11581)
EC_Carrot的博客
07-06 390
漏洞详细 请移步:https://vulhub.org/#/environments/jira/CVE-2019-11581/
最近的Jira漏洞
公众号shadow sock7
07-16 881
https://jira.atlassian.com/browse/JRASERVER-71113 https://jira.atlassian.com/browse/JRASERVER-71114 https://jira.atlassian.com/browse/JRASERVER-70923 https://jira.atlassian.com/browse/JRASERVER-71107 https://confluence.atlassian.com/jirasoftwareserver/atta
JIRA服务器配置要求
07-28
JIRA 服务器 配置 要求
JIRA工作流配置说明
11-22
JIRA工作流配置说明,告诉你如何在jira配置一个工作流,看完以后你会情不自禁的说:“味がとてもうまい”
JIRA配置管理指南--自定义工作流流程
06-20
快速熟悉掌握 JIRA配置管理--在用户组管理 自定义工作流流程方面
jira for linux配置
01-04
在Linux环境下配置Jira需要遵循一定的步骤,确保所有依赖项正确安装和配置。以下是关于"Jira for Linux配置"的详细知识讲解: **一、JDK的安装与配置** 在安装Jira之前,首先需要确保系统中安装了兼容的Java ...
Jira未授权SSRF漏洞(CVE-2019-8451)
Li-D的博客
12-31 1471
漏洞描述 Jira的/plugins/servlet/gadgets/makeRequest资源存在SSRF漏洞,原因在于JiraWhitelist这个类的逻辑缺陷,成功利用此漏洞的远程攻击者可以以Jira服务端的身份访问内网资源。经分析,此漏洞无需任何凭据即可触发。 漏洞危害 远程攻击者可以利用此漏洞以Jira服务端的身份访问内网资源。 漏洞影响版本 Jira < 8.4.0 漏洞分析 两个关键信息点: • 漏洞点在/plugins/servlet/gadgets/makeRequest • 原因在
CVE-2019-8451(Jira未授权SSRF漏洞)
qq_41048303的博客
04-09 4689
CVE-2019-8451(Jira未授权SSRF漏洞) 1.漏洞概述 jira的/plugins/servlet/gadgets/makeRequest资源存在ssrf漏洞。 2.环境搭建 使用docker 进行搭建 docker pull cptactionhank/atlassian-jira:7.8.0 docker run --detach --publish 8080:8080 cptactionhank/atlassian-jira:7.8.0 访问ip:8080进行安装jira,安装过程需
Apache Subversion Use-After-Free漏洞(CVE-2022-24070)
murphysec的博客
04-19 583
CVE-2022-24070漏洞会造成Apache Subversion下处理请求的 HTTPD 工作进程崩溃,进而导致拒绝服务,目前该漏洞已修复,建议受影响用户更新到安全版本,或下载官方补丁:https://subversion.apache.org/security/CVE-2022-24070-advisory.txt 编号       CVE-2022-24070                      标题 Apache Subversion Use-After-Free漏洞
最近的几个Jira漏洞
公众号shadow sock7
08-27 8822
cnnvd上发布了几个jira的漏洞,都是中低危的: https://mp.weixin.qq.com/s/cylzALSdMPud5-hXqo4mKA 大量jira的bug漏洞可以参考这里: https://jira.atlassian.com/browse/JRASERVER-69858?filter=13085 jira的各种REST API文档: https://docs.atlassia...
漏洞笔记--Jira 相关漏洞复现及利用
NoooEmotion的博客
01-28 4051
Atlassian Jira是企业广泛使用的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。
jira漏洞复现
Shanfenglan's blog
12-03 4006
文章目录1. Atlassian Jira 模板注入漏洞(CVE-2019-11581)1.1 利用参考文章 1. Atlassian Jira 模板注入漏洞(CVE-2019-11581) 影响版本 4.4.x 5.x.x 6.x.x 7.0.x 7.1.x 7.2.x 7.3.x 7.4.x 7.5.x 7.6.x before 7.6.14 (the fixed version for 7.6.x) 7.7.x 7.8.x 7.9.x 7.10.x 7.11.x 7.12.x 7.13.x befor
【漏洞通告】CVE-2022-36803 Atlassian Jira Align权限提升漏洞
热爱学习,喜欢折腾!
10-17 341
Atlassian Jira Align是一个企业敏捷规划平台,可将工作与大规模的产品、项目和投资组合管理联系起来。10月14日,Atlassian修复了Jira Align中的一个权限提升漏洞(CVE-2022-36803),该漏洞的CVSS评分为6.5。由于Atlassian Jira Align 10.109.2 之前版本中的 MasterUserEdit API 允许经过身份验证且具有 People 角色权限的用户使用 MasterUserEdit API 将任何用户角色修改为超级管理员。
Atlassian 修复Jira 中的完全读取SSRF漏洞
smellycat000的专栏
07-07 394
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Atlassian 公司的热门问题追踪和项目管理软件 Jira 易受一个服务器端请求伪造 (SSRF) 缺陷影响,在无需凭据的情况下即可遭滥用。Assetnote 公司的首席技术官兼创始人 Shubham Shah 在博客文章中指出,“根据Jira 实例的不同,有很多种方法可以在 Jira 上创建账户来利用该漏洞”,例如...
jira安装配置教程
最新发布
05-07
以下是Jira的安装配置教程: 1. 首先,你需要下载Jira的安装包。你可以从Atlassian的官方网站上下载,也可以从第三方网站上下载。 2. 安装Java环境。Jira是基于Java开发的,所以在安装之前需要先安装Java环境。 3...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值