检测

Atlassian JIRA ConfigureReport.jspa“reportKey”信息泄露

medium Nessus 插件 ID 48263

语言:

简介

远程 Web 服务器托管受到信息泄露漏洞影响的 Web 应用程序。

描述

远程 Web 服务器托管的 Atlassian JIRA 安装受到一个信息泄露漏洞影响,未经认证的攻击者可利用此漏洞,将 ConfigureReport.jspa 的“reportKey”参数设为无效值,以从远程系统取得敏感信息的访问权限,例如操作系统版本、数据库版本或构建版本。据报告,此 JIRA 版本还受到多个跨站脚本漏洞影响,但是 Nessus 尚未对于这些问题进行测试。

解决方案

依据供应商知识库文章提及的内容修改 JIRA 500 错误页面。

另见

https://seclists.org/bugtraq/2010/Jul/254

https://id.atlassian.com/login?continue=https%3A%2F%2Fid.atlassian.com%2Fopenid%2Fv2%2Fop%3Fopenid.return_to%3Dhttps%3A%2F%2Fconfluence.atlassian.com%2Fplugins%2Fservlet%2Fauthentication%3Fauth_plugin_original_url%253D%25252Fjirakb%25252Fremove-information-from-the-500-error-page-oops-an-error-has-occurred-282174657.html%26openid.ns%3Dhttp%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0%26openid.ns.sreg%3Dhttp%3A%2F%2Fopenid.net%2Fsreg%2F1.0%26openid.assoc_handle%3D11685648%26openid.identity%3Dhttp%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0%2Fidentifier_select%26openid.realm%3Dhttps%3A%2F%2F*.atlassian.com%26openid.claimed_id%3Dhttp%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0%2Fidentifier_select%26openid.sreg.required%3Dfullname%2Cnickname%2Cemail%26openid.mode%3Dcheckid_setup&prompt=&application=&tenant=&email=&errorCode=

插件详情

严重性: Medium

ID: 48263

文件名: jira_configurereport_reportkey_info_disclosure.nasl

版本: 1.17

类型: remote

系列: CGI abuses

发布时间: 2010/8/6

最近更新时间: 2025/5/14

配置: 启用全面检查 (optional)

支持的传感器: Nessus

Enable CGI Scanning: true

漏洞信息

CPE: cpe:/a:atlassian:jira

必需的 KB 项: installed_sw/Atlassian JIRA

可利用: true

易利用性: Exploits are available

被 Nessus 利用: true

漏洞发布日期: 2010/7/24

参考资料信息

BID: 42025