漏洞描述
近日Atlassian公开了一个Jira未授权SSRF漏洞.Jira中的/plugins/servlet/gadgets/makeRequest
类允许远程攻击者通过服务器端请求伪造(SSRF)漏洞来访问内网资源.此漏洞加上某一特定请求头,无需登陆即可触发.
CVE编号
CVE-2019-8451
漏洞威胁等级
高危
影响范围
Jira < 8.4.0
漏洞验证
使用payload在未授权的情况下进行SSRF成功访问亚信安全官网首页
修复建议
升级至8.4.0或其以后版本
Reference
https://nvd.nist.gov/vuln/detail/CVE-2019-8451
https://jira.atlassian.com/browse/JRASERVER-69793