Atlassian Jira

Jira存在一个未授权访问漏洞，未授权的用户可以通过一个api接口直接查询到某用户名的存在情况，该接口不同于CVE-2019-8446和CVE-2019-3403的接口，是一个新的接口。如果Jira暴露在公网中，未授权用户就可以直接访问该接口爆破出潜在的用户名。

Atlassian Jira < v7.13.6

Atlassian Jira v8.0.0 - 8.5.7

Atlassian Jira v8.6.0 - 8.12.0

打开主界面，注意标识中的 Jira版本是否在影响中

使用POC对用户名是否存在进行验证

https://www.0-sec.org/secure/ViewUserHover.jspa?username=admin

用户存在返回以下信息

Last updated 4 years ago

Was this helpful?