【背景】
近日,腾讯安全御见威胁情报中心监测到,Atlassian Jira信息泄露漏洞(CVE-2019-8449)的PoC被公开。Atlassian Jira 8.4.0之前的版本/rest/api/latest/groupuserpicker接口允许远程攻击者枚举用户名,导致信息泄露。
【漏洞详情】
Atlassian Jira 8.4.0之前版本/rest/api/latest/groupuserpicker接口允许远程攻击者枚举用户名,导致信息泄露。
【风险评级】中危
【漏洞验证】
【影响版本】
Atlassian Jira <8.4.0
【修复建议】
1.建议受影响的用户升级至官方最新版本
2.未能及时安装新版的,可配置安全组,限制只允许可信源IP访问
3.腾讯御界可检测针对该漏洞的攻击
【参考链接】
https://jira.atlassian.com/browse/JRASERVER-69796