Jira 未授权 SSRF 漏洞安全通告
发布时间 2019-09-24漏洞编号和级别
CVE编号:CVE-2019-8451,危险级别:中危,CVSS分值:6.5
影响版本
Jira < 8.4.0
漏洞概述
Atlassian Jira是澳大利亚Atlassian公司的一套缺陷跟踪管理系统。该系统主要用于对工作中各类问题、缺陷进行跟踪管理。
Jira 的 /plugins/servlet/gadgets/makeRequest 资源存在 SSRF 漏洞,原因在于 JiraWhitelist 这个类存在逻辑缺陷。在小于 8.4.0 的 Jira 版本中,攻击者可以以 Jira 服务端的身份访问内网资源,并且该漏洞无需任何凭据即可触发。
漏洞验证
暂无POC/EXP。
修复建议
https://jira.atlassian.com/browse/JRASERVER-69793
参考链接
京公网安备11010802024551号