Jira未授权SSRF漏洞(CVE-2019-8451)

来源:scanv2019.09.24

一 漏洞概述

前一段时间Atlassian的bug跟踪里公开了一个Jira未授权SSRF漏洞。看一下官方的描述: 
Jira的/plugins/servlet/gadgets/makeRequest资源存在SSRF漏洞,原因在于JiraWhitelist这个类的逻辑缺陷,成功利用此漏洞的远程攻击者可以以Jira服务端的身份访问内网资源。经分析,此漏洞无需任何凭据即可触发。

二 漏洞危害

成功利用此漏洞的远程攻击者可以以Jira服务端的身份访问内网资源。

三 影响版本

Jira< 8.4.0。

四 复现过程

五 影响范围

根据 ZoomEye 网络空间搜索引擎[1]对关键字 “Jira” 进行搜索,共得到 159,039 条 IP 历史记录,主要分布在美国、中国等国家。

六 修复建议

1、 升级到8.4.0及以上版本。

七 相关链接

ZoomEye 网络空间搜索引擎:https://www.zoomeye.org/searchResult?q=Jira

热门文章

关注知道创宇云安全

获取安全动态