Jira 信息泄露 (CVE-2020-36289)
| ID: | 16523 |
|---|---|
| 标题: | Jira 信息泄露 (CVE-2020-36289) |
| 描述: | Jira 信息泄露 (CVE-2020-36289) vulfocus/jira-cve_2020_36289:latest 受影响的 Atlassian Jira 服务器和数据中心版本允许未经身份验证的用户通过 QueryComponentRendererValue!Default.jspa 端点中的信息披露漏洞枚举用户。受影响的版本为 8.5.13 之前的版本、8.13.5 之前的 8.6.0 版本以及 8.15.1 之前的 8.14.0 版本。 |
| 类型: | WEB |
| 网站: | vulfocus |
| 题目链接: | https://vulfocus.cn |
| 赛事: | None |
| 年度: | None |
| Flag值: | CVE-2020-36289漏洞的利用方法是:通过向/secure/QueryComponentRendererValue!Default.jspa端点发送包含用户名参数(如assignee=user:admin)的HTTP请求,根据返回结果差异(如状态码、响应内容等)来判断目标用户名是否存在,从而实现未授权用户枚举。 3 |
| writeup: | https://cloud.tencent.com/developer/article/1850733 |