标签：插件 jar Atlassian 接口 漏洞 2019 11580 CVE 搭建

0x01 前言

该漏洞大概情况为，应用中存在任意安装其他插件的插件应用，因此可以通过该插件安装恶意的插件。

0x02 复现

搭建atlassian，注册并申请licensed，最终搭建成功，具体搭建方案请看这篇blog

https://blog.csdn.net/weixin_43061533/article/details/111219380

攻击脚本

https://github.com/jas502n/CVE-2019-11580

0x03 漏洞原理

该漏洞出现问题主要在pdkinstall-plugin这个jar包中。对该jar包进行反编译

查看xml文件可以看到sevlet请求路径和类对应路径。此次出现漏洞的点出现接口/admin/uploadplugin.action中，该接口对应的类是com.atlassian.pdkinstall.PdkInstallFilter，定位到jar包中的该类，该接口通过判断是否为上传文件，对上传文件进行提取

安装jar

标签：插件,jar,Atlassian,接口,漏洞,2019,11580,CVE,搭建
来源： https://www.cnblogs.com/0x28/p/15685207.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。