漏洞描述:
【漏洞对象】Jira 【涉及版本】 version < 8.4.0 【漏洞描述】Atlassian Jira是澳大利亚Atlassian公司的出品的项目与事务跟踪工具,被广泛应用于各大厂商任务跟踪、流程审批等系统。由于JiraWhitelist类中的逻辑错误,版本8.4.0之前的Jira中的/ plugins / servlet / gadgets / makeRequest资源允许远程攻击者通过服务器端请求伪造(SSRF)漏洞访问内部网络资源的内容。此漏洞加上某一特定请求头,无需登陆即可触发。攻击者通过利用此漏洞可以实现请求的转发,结合 redis 等协议实现内网渗透和敏感信息获取,甚至利用掌握的信息对内网或本地服务器发起进一步攻击
