漏洞说明
匿名用户可以通过以下地址来枚举用户账户以获得他们的更多信息
/rest/api/latest/groupuserpicker?query=test&maxResults=50&showAvatar=false
风险级别
中危
示例
比如调用http://jira.jiracn.com/rest/api/latest/groupuserpicker?query=admin&maxResults=50&showAvatar=false
会返回如下结果
解决方案
升级到jira8.4以上版本