Atlassian Jira 7.13.16より前 / 8.5.7より前の8.x / 8.12.0より前の8.6.xのユーザー列挙(JRASERVER-71560)

medium Nessus プラグイン ID 140769

概要

リモートのWebサーバーでホストされているWebアプリケーションがユーザー列挙の脆弱性の影響を受けます。

説明

自己報告のバージョン番号によると、リモートWebサーバーでホストされているAtlassian JIRAのインスタンスは、7.3.16より前か、8.5.7より前の8.xまたは8.12.0より前の8.6.xです。したがって、情報漏洩の脆弱性の影響を受けます。
認証されていないリモートの攻撃者が、これを悪用して、/ViewUserHover.jspaエンドポイントを介して、ユーザーを列挙する可能性があります。

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Atlassian Jiraバージョン7.13.16、8.5.7、8.12.0へのアップグレード

参考資料

https://jira.atlassian.com/browse/JRASERVER-71560

http://www.nessus.org/u?a89d4437

http://www.nessus.org/u?0c982660

http://www.nessus.org/u?f7758971

プラグインの詳細

深刻度: Medium

ID: 140769

ファイル名: jira_8_12_0_jraserver-71560.nasl

バージョン: 1.5

タイプ: combined

エージェント: windows, macosx, unix

ファミリー: CGI abuses

公開日: 2020/9/24

更新日: 2022/4/11

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 2.2

CVSS v2

リスクファクター: Medium

Base Score: 5

Temporal Score: 3.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS スコアのソース: CVE-2020-14181

CVSS v3

リスクファクター: Medium

Base Score: 5.3

Temporal Score: 4.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:atlassian:jira

必要な KB アイテム: installed_sw/Atlassian JIRA

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2020/9/16

脆弱性公開日: 2020/9/16

参照情報

CVE: CVE-2020-14181

IAVA: 2020-A-0432