CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2018-20827
https://notcve.org/view.php?id=CVE-2018-20827
09 Aug 2019 — The activity stream gadget in Jira before version 7.13.1 allows remote attackers to inject arbitrary HTML or JavaScript via a cross site scripting (XSS) vulnerability in the country parameter. El gadget activity stream en Jira anterior a versión 7.13.1 permite a los atacantes remotos inyectar HTML o JavaScript arbitrario por medio de una vulnerabilidad de tipo cross site scripting (XSS) en el parámetro country. • https://jira.atlassian.com/browse/JRASERVER-69237 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 94%CPEs: 5EXPL: 3CVE-2019-11581 – Atlassian Jira Server and Data Center Server-Side Template Injection Vulnerability
https://notcve.org/view.php?id=CVE-2019-11581
23 Jul 2019 — There was a server-side template injection vulnerability in Jira Server and Data Center, in the ContactAdministrators and the SendBulkMail actions. An attacker is able to remotely execute code on systems that run a vulnerable version of Jira Server or Data Center. All versions of Jira Server and Data Center from 4.4.0 before 7.6.14, from 7.7.0 before 7.13.5, from 8.0.0 before 8.0.3, from 8.1.0 before 8.1.2, and from 8.2.0 before 8.2.3 are affected by this vulnerability. Se presentó una vulnerabilidad de iny... • https://github.com/jas502n/CVE-2019-11581 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-11583
https://notcve.org/view.php?id=CVE-2019-11583
26 Jun 2019 — The issue searching component in Jira before version 8.1.0 allows remote attackers to deny access to Jira service via denial of service vulnerability in issue search when ordering by "Epic Name". El problema de componente de búsqueda en Jira anterior de la versión 8.1.0 permite que los atacantes remotos denieguen el acceso al servicio de Jira a través de la vulnerabilidad de denegación de servicio en la búsqueda de problemas al ordenar por "EPIC NAME". • http://www.securityfocus.com/bid/108901 •
CVSS: 7.5EPSS: 92%CPEs: 3EXPL: 0CVE-2019-8442
https://notcve.org/view.php?id=CVE-2019-8442
22 May 2019 — The CachingResourceDownloadRewriteRule class in Jira before version 7.13.4, and from version 8.0.0 before version 8.0.4, and from version 8.1.0 before version 8.1.1 allows remote attackers to access files in the Jira webroot under the META-INF directory via a lax path access check. CachingResourceDownloadRewriteRule class in Jira antes versión 7.13.4, y desde la versión 8.0.0 antes de la versión 8.0.4, y desde la versión 8.1.0 antes versión 8.1.1, permite a los atacantes remotos acceder a los archivos en el... • http://www.securityfocus.com/bid/108460 •
CVSS: 6.1EPSS: 52%CPEs: 2EXPL: 0CVE-2019-3402
https://notcve.org/view.php?id=CVE-2019-3402
22 May 2019 — The ConfigurePortalPages.jspa resource in Jira before version 7.13.3 and from version 8.0.0 before version 8.1.1 allows remote attackers to inject arbitrary HTML or JavaScript via a cross site scripting (XSS) vulnerability in the searchOwnerUserName parameter. ConfigurePortalPages.jspa resource in Jira antes versión 7.13.3 y desde la versión 8.0.0 antes versión 8.1.1, permite a los atacantes remotos inyectar HTML o JavaScript arbitrarios mediante una vulnerabilidad de tipo cross-site scripting (XSS) en el p... • https://jira.atlassian.com/browse/JRASERVER-69243 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.1EPSS: 1%CPEs: 3EXPL: 0CVE-2019-8443
https://notcve.org/view.php?id=CVE-2019-8443
22 May 2019 — The ViewUpgrades resource in Jira before version 7.13.4, from version 8.0.0 before version 8.0.4, and from version 8.1.0 before version 8.1.1 allows remote attackers who have obtained access to administrator's session to access the ViewUpgrades administrative resource without needing to re-authenticate to pass "WebSudo" through an improper access control vulnerability. El recurso ViewUpgrades en Jira antes de la versión 7.13.4, desde la versión 8.0.0 antes de la versión 8.0.4, y desde la versión 8.1.0 antes... • http://www.securityfocus.com/bid/108458 • CWE-287: Improper Authentication •
CVSS: 5.3EPSS: 90%CPEs: 3EXPL: 2CVE-2019-3403
https://notcve.org/view.php?id=CVE-2019-3403
22 May 2019 — The /rest/api/2/user/picker rest resource in Jira before version 7.13.3, from version 8.0.0 before version 8.0.4, and from version 8.1.0 before version 8.1.1 allows remote attackers to enumerate usernames via an incorrect authorisation check. The /rest/api/2/user/picker rest resource en Jira antes de la versión 7.13.3, desde la versión 8.0.0 antes versión 8.0.4, y desde versión 8.1.0 antes de la versión 8.1.1, permite a los atacantes remotos enumerar los nombres de usuario mediante una comprobación de autor... • https://github.com/davidmckennirey/CVE-2019-3403 • CWE-863: Incorrect Authorization •
CVSS: 5.3EPSS: 80%CPEs: 2EXPL: 0CVE-2019-3401
https://notcve.org/view.php?id=CVE-2019-3401
22 May 2019 — The ManageFilters.jspa resource in Jira before version 7.13.3 and from version 8.0.0 before version 8.1.1 allows remote attackers to enumerate usernames via an incorrect authorisation check. ManageFilters.jspa resource in Jira antes versión 7.13.3 y desde versión 8.0.0 antes versión 8.1.1, permite a los atacantes remotos enumerar los nombres de usuario mediante una comprobación de autorización incorrecta. • https://jira.atlassian.com/browse/JRASERVER-69244 • CWE-863: Incorrect Authorization •
CVSS: 6.1EPSS: 46%CPEs: 1EXPL: 0CVE-2018-20824
https://notcve.org/view.php?id=CVE-2018-20824
03 May 2019 — The WallboardServlet resource in Jira before version 7.13.1 allows remote attackers to inject arbitrary HTML or JavaScript via a cross site scripting (XSS) vulnerability in the cyclePeriod parameter. El recurso WallboardServlet en Jira en versiones anteriores a la 7.13.1 permite a los atacantes remotos inyectar HTML o JavaScript arbitrarios a través de una vulnerabilidad XSS (Cross Site Scripting) en el parámetro cyclePeriod. • https://jira.atlassian.com/browse/JRASERVER-69238 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2019-3399
https://notcve.org/view.php?id=CVE-2019-3399
30 Apr 2019 — The BrowseProjects.jspa resource in Jira before version 7.13.2, and from version 8.0.0 before version 8.0.2 allows remote attackers to see information for archived projects through a missing authorisation check. El recurso BrowseProjects.jspa en Jira anterior a la versión 7.13.2 y desde la versión 8.0.0 anterior a la versión 8.0.2 permite a los atacantes remotos observar información de proyectos archivados por a una falta de comprobación de autorización. • https://jira.atlassian.com/browse/JRASERVER-69246 • CWE-862: Missing Authorization CWE-863: Incorrect Authorization •