根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian Jira 实例版本低于 7.13.12，或为低于 8.4.3 的 8.0.0 或低于 8.5.2 的 8.5.0。因而受到一个漏洞的影响，该漏洞允许没有项目管理访问权限、经身份验证的远程攻击者通过缺失的授权检查，从项目中删除配置的问题状态。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian JIRA 实例版本低于 7.13.12，或为低于 8.4.3 的 8.x 或低于 8.5.2 / 8.6.0 的 8.5.x。因而受到授权绕过漏洞的影响。由于缺少授权检查，WorkflowResource 类 removeStatus 方法中存在漏洞。经身份验证的远程攻击者可通过非特权帐户利用此漏洞，绕过要求的管理权限，并移除项目的配置问题状态。

根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian JIRA 实例版本为低于 8.4.2 的 8.4.x。因此，该应用程序受到多个漏洞的影响：

  - 应用程序链接插件的 listEntityLinks servlet 资源中存在信息泄露漏洞，其会通过缺少的权限检查，向非管理员用户泄露应用程序链接信息。(CVE-2019-15011)

  - Jira 7.13.12 之前的版本、8.0.0 到 8.4.3 版和 8.5.0 到 8.5.2 版中的 WorkflowResource 类 removeStatus 方法会允许经过身份验证的远程攻击者利用缺少的授权检查，在没有项目管理访问权限的情况下，从项目中删除已配置的问题状态。(CVE-2019-15013)

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
113774	Atlassian Jira 8.0.0 < 8.4.3 Workflowresource 类中存在不当授权	Web App Scanning	Component Vulnerability	2023/3/14	2023/3/14	medium
113773	Atlassian Jira 7.13.0 < 7.13.12 Workflowresource 类中存在不当授权	Web App Scanning	Component Vulnerability	2023/3/14	2023/3/14	medium
113775	Atlassian Jira 8.5.0 < 8.5.2 Workflowresource 类中存在不当授权	Web App Scanning	Component Vulnerability	2023/3/14	2023/3/14	medium
132727	Atlassian JIRA < 7.13.12 / 8.x < 8.4.3 / 8.5.x < 8.5.2 授权绕过 (JRASERVER-70405)	Nessus	CGI abuses	2020/1/9	2022/4/11	medium
132320	Atlassian JIRA < 8.4.2 应用程序链接插件中的信息泄露	Nessus	CGI abuses	2019/12/20	2022/4/27	medium

检测

插件搜索

medium

medium

medium

medium

medium