Atlassian OAuth 插件版本 1.3.0 至 1.9.11 与版本 2.0.0 至 2.0.3 都允许远程攻击者将目标应用程序充当代理，并通过 IconUriServlet 对内部或外部资源执行请求。

攻击者可能会利用此漏洞进行跨站脚本攻击，或在基于云的环境中获取敏感信息，例如元数据资源。

以下 Atlassian 产品版本容易受到影响：
 - Bamboo 6.0.0
 - Bitbucket 4.14.4
 - Confluence 6.1.3
 - Crowd < 2.11.2
 - Crucible 和 Fisheye < 4.3.2
 - Jira < 7.3.5。

远程主机上安装的 Atlassian Crowd 版本低于 2.11.2。因而受到 OAuth 插件 IconUriServlet 中内部网络资源泄露 (CSRF) 漏洞的影响。请注意，Nessus 没有测试此问题，而仅依赖于应用程序自我报告的版本号。

根据其自我报告的版本，远程主机上运行的 Atlassian FishEye 安装版本低于 4.3.2。因而受到 OAuth 插件 IconUriServlet 中内部网络资源泄露 (CSRF) 漏洞的影响。请注意，Nessus 没有测试此问题，而仅依赖于应用程序自我报告的版本号。

根据其自我报告的版本号，远程主机上运行的 Atlassian Bamboo 实例版本低于 6.0.0。因而受到 OAuth 插件 IconUriServlet 中内部网络资源泄露 (CSRF) 漏洞的影响。请注意，Nessus 没有测试此问题，而仅依赖于应用程序自我报告的版本号。

根据其自我报告的版本，远程主机上安装的 Atlassian Crucible 版本低于 4.3.2。因而受到 OAuth 插件 IconUriServlet 中内部网络资源泄露 (CSRF) 漏洞的影响。请注意，Nessus 没有测试此问题，而仅依赖于应用程序自我报告的版本号。

远程主机上安装的 Atlassian Bitbucket 版本低于 4.14.4。因而受到 OAuth 插件 IconUriServlet 中内部网络资源泄露 (CSRF) 漏洞的影响。请注意，Nessus 没有测试此问题，而仅依赖于应用程序自我报告的版本号。

根据其自我报告的版本号，远程主机上运行的 Atlassian Confluence 应用程序版本低于 6.1.3。因而受到 OAuth 插件 IconUriServlet 中内部网络资源泄露 (CSRF) 漏洞的影响。请注意，Nessus 没有测试此问题，而仅依赖于应用程序自我报告的版本号。

根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian JIRA 版本低于 7.2.15。因而受到 OAuth 插件 IconUriServlet 中内部网络资源泄露 (CSRF) 漏洞的影响。

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
98999	Atlassian OAuth 插件 1.3.0 < 1.9.12/2.0.0 < 2.0.4 服务器端请求伪造	Web App Scanning	Component Vulnerability	2020/4/16	2021/9/7	medium
110772	Atlassian Crowd < 2.11.2 OAuth 插件 IconUriServlet 内部网络资源泄露 CSRF	Nessus	CGI abuses	2018/6/28	2025/5/14	medium
110774	Atlassian FishEye < 4.3.2 OAuth 插件 IconUriServlet 内部网络资源泄露 CSRF	Nessus	CGI abuses	2018/6/28	2025/5/14	medium
110769	Atlassian Bamboo < 6.0.0 OAuth 插件允许代理任意 HTTP 请求	Nessus	CGI abuses	2018/6/28	2025/5/14	medium
110773	Atlassian Crucible < 4.3.2 OAuth 插件 IconUriServlet 内部网络资源泄露 CSRF	Nessus	CGI abuses	2018/6/28	2024/9/12	medium
110770	Atlassian Bitbucket < 4.14.4 OAuth 插件 IconUriServlet 内部网络资源泄露 CSRF	Nessus	CGI abuses	2018/6/28	2024/11/22	medium
110771	Atlassian Confluence < 6.1.3 OAuth 插件 IconUriServlet 内部网络资源泄露 CSRF	Nessus	CGI abuses	2018/6/28	2025/5/14	medium
110775	Atlassian Jira < 7.2.15 OAuth 插件 IconUriServlet 内部网络资源泄露 CSRF	Nessus	CGI abuses	2018/6/28	2024/9/12	medium

检测

插件搜索

medium

medium

medium

medium

medium

medium

medium

medium