首頁 > 安全研究 > 安全通報 > 安全通告

Jira 未授權 SSRF 漏洞安全通告

發布時間 2019-09-24

漏洞編號和級別


CVE編號:CVE-2019-8451,危險級別:中危,CVSS分值:6.5


影響版本


Jira < 8.4.0 


漏洞概述


Atlassian Jira是澳大利亞Atlassian公司的一套缺陷跟蹤管理系統。該系統主要用于對工作中各類問題、缺陷進行跟蹤管理。


Jira 的 /plugins/servlet/gadgets/makeRequest 資源存在 SSRF 漏洞,原因在于 JiraWhitelist 這個類存在邏輯缺陷。在小于 8.4.0 的 Jira 版本中,攻擊者可以以 Jira 服務端的身份訪問內網資源,并且該漏洞無需任何憑據即可觸發。


漏洞驗證


暫無POC/EXP。


修復建議


目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:

https://jira.atlassian.com/browse/JRASERVER-69793 


參考鏈接


https://jira.atlassian.com/browse/JRASERVER-69793

上一篇 下一篇