CVE-2019-3403

漏洞描述：Jira 7.13.3 之前的 /rest/api/2/user/picker REST 资源、8.0.4 之前的 8.0.0 和 8.1.1 之前的 8.1.0 允许远程攻击者通过以下方式枚举用户名不正确的授权检查。

参考资料：https://pentestbook.six2dez.com/enumeration/webservices/jira

POC：

CVE-2019-3403

Information disclosure vulnerability

https://jira.atlassian.com/browse/JRASERVER-69242

visit the URL address,you can check the user whether is exist on this host

/rest/api/2/user/picker?query=admin

So the attacker can enumerat