Atlassian Jira信息泄露漏洞CVE-2019-8449

admin 2022年6月29日18:35:04评论641 views字数 1582阅读5分16秒阅读模式

Atlassian Jira存在信息泄露漏洞,编号CVE-2019-8449,此漏洞由于Atlassian Jira提供了/rest/api/latest/groupuserpicker对外接口,攻击者可以利用此接口,枚举用户名,得到相应的用户信息,导致Jira用户信息的泄露。





漏洞名称:Atlassian Jira信息泄露漏洞CVE-2019-8449

威胁等级:高危

影响范围:Atlassian Jira 2.1 - 8.3.4

漏洞类型:信息泄露

利用难度:简单






漏洞分析


1 Atlassian Jira介绍

JIRA软件是一个功能强大的平台,可以将问题收集和敏捷项目管理功能整合到一个应用程序中。使用JIRA软件可以帮助您更有效地管理您的敏捷团队组织任务,工作流程和报告。


JIRA软件的强大的问题收集和敏捷项目管理功能建立在JIRA Admin之上。JIRA Admin还包含JIRA Software的管理功能。JIRA Admin中配置了许多应用程序设置,例如创建和编辑工作流程或配置权限。


2 漏洞分析

此漏洞由于Atlassian Jira提供了/rest/api/latest/groupuserpicker对外接口,此接口是为了方便开发者编程时,调用此接口获取信息。但是由于Jira未对此接口进行权限控制,导致攻击者可以利用此接口,枚举用户名,得到相应的用户信息,导致Jira用户信息的泄露。


3 漏洞复现

搭建 Atlassian Jira 7.13.4版本环境 。构造恶意的GET请求获取用户信息,效果如下图所示:

Atlassian Jira信息泄露漏洞CVE-2019-8449

 

影响范围


目前据统计,在全球范围内对互联网开放Atlassian Jira的资产数量多达49851台,其中归属中国地区的受影响资产数量为6000台以上。


目前受影响Atlassian Jira的版本:

Atlassian Jira 2.1 - 8.3.4


解决方案


1 修复建议

官方发布的最新版本已经修复了此漏洞,请受影响的用户下载最新版本防御此漏洞。


下载链接:

https://www.atlassian.com/software/jira/download


2 深信服解决方案

深信服下一代防火墙】可轻松防御此漏洞, 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。


深信服云盾】已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。


深信服安全感知平台】可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。


深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。在漏洞爆发之初,云端安全专家即对客户的网络环境进行漏洞扫描,保障第一时间检查客户的主机是否存在此漏洞。对存在漏洞的用户,检查并更新了客户防护设备的策略,确保客户防护设备可以防御此漏洞风险。


深信服安全云眼】在漏洞爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。

注册地址:http://saas.sangfor.com.cn


深信服云镜】在漏洞爆发第一时间即完成检测能力的发布,部署了云镜的用户可以通过升级来快速检测网络中是否受该高危风险影响,避免被攻击者利用。离线使用云镜的用户需要下载离线更新包来获得漏洞检测能力,可以连接云端升级的用户可自动获得漏洞检测能力。


时间轴


2020/02/11



Atlassian Jira信息泄露漏洞CVE-2019-8449利用方式公开

2019/02/13



深信服千里目安全实验室分析并复现该漏洞,并发布漏洞预警文章


点击阅读原文,及时关注深信服智安全Wiki平台查询漏洞的产品解决方案(需登录)~

Atlassian Jira信息泄露漏洞CVE-2019-8449


原文始发于微信公众号(深信服千里目安全实验室):Atlassian Jira信息泄露漏洞CVE-2019-8449

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月29日18:35:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Atlassian Jira信息泄露漏洞CVE-2019-8449https://cn-sec.com/archives/784972.html

发表评论

匿名网友 填写信息