CVE-2019-8449: /rest/api/latest/groupuserpicker?query=$username CVE-2020-14181: /secure/ViewUserHover.jspa?username=$username
这俩洞都是枚举用户的
这个会返回些信息
这个不存在就会exist
然后可以靠枚举出来的用户进行爆破啦
JIRA 俩同种类型漏洞
原文:https://www.cnblogs.com/muxueblog/p/14400930.html
