CVE-2019-3403
漏洞描述:Jira 7.13.3 之前的 /rest/api/2/user/picker REST 资源、8.0.4 之前的 8.0.0 和 8.1.1 之前的 8.1.0 允许远程攻击者通过以下方式枚举用户名不正确的授权检查。
参考资料:https://pentestbook.six2dez.com/enumeration/webservices/jira
POC:
CVE-2019-3403
Information disclosure vulnerability
https://jira.atlassian.com/browse/JRASERVER-69242
visit the URL address,you can check the user whether is exist on this host
/rest/api/2/user/picker?query=admin
So the attacker can enumerat
© 版权声明
部分文章采集于互联网,若侵权请联系删除!
THE END
请登录后查看评论内容