漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-084677
漏洞标题:JIRA某后台设计不当可以登入获取大量敏感信息
相关厂商:JIRA
漏洞作者: px1624
提交时间:2014-11-28 10:18
修复时间:2015-01-12 10:20
公开时间:2015-01-12 10:20
漏洞类型:系统/服务运维配置不当
危害等级:高
自评Rank:12
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-11-28: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-01-12: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
JIRA是Atlassian公司出品的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。
JIRA中配置灵活、功能全面、部署简单、扩展丰富,其超过150项特性得到了全球115个国家超过19,000家客户的认可。官网https://www.atlassian.com/
提交这种全球性的外国大厂商的漏洞,就存在联系不到导致被忽略的风险,希望乌云能给力点把厂商喊来注册!
详细说明:
JIRA官方自己也中招了!
泄漏后台地址:http://www.jira.cn/secure/Dashboard.jspa
后台使用了默认配置,可以点击Sign Up注册。
注册地址:http://www.jira.cn/secure/Signup!default.jspa
注册后登录后台系统,敏感信息一览无余。
JIRA官方自己功能比其它使用厂商的多啊!
更多敏感信息这里就不再详细截图了。
漏洞证明:
修复方案:
去掉后台注册功能,最好后台不要对所有人可访问。
版权声明:转载请注明来源 px1624@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝