# Atlassian Jira ViewUserHover.jspa 用户信息泄露漏洞 CVE-2020-14181

# 漏洞描述

Jira存在一个未授权访问漏洞，未授权的用户可以通过一个api接口直接查询到某用户名的存在情况，该接口不同于CVE-2019-8446和CVE-2019-3403的接口，是一个新的接口。如果Jira暴露在公网中，未授权用户就可以直接访问该接口爆破出潜在的用户名。

Atlassian Jira < 7.13.6
Atlassian Jira 8.0.0 - 8.5.7
Atlassian Jira 8.6.0 - 8.12.0

app="Jira"

打开主界面，注意标识中的 Jira版本是否在影响中

使用POC对用户名是否存在进行验证

/secure/ViewUserHover.jspa?username=admin

用户名如果不存在会返回

存在的用户名会返回

不存在漏洞会返回